Apple stopt verspreiding van Hermit-spyware

0
54

Hermit-spyware uitgeschakeld

Google’s Threat Analysis Group (TAG) bracht onlangs al een rapport uit over Hermit, dat gericht is op iPhones en Android-toestellen. De spyware is gemaakt door het Italiaanse softwarebedrijf RCS Lab en heeft dezelfde insteek als het Israëlische Pegasus van NSO Group. Het is nog onduidelijk wie getroffen zijn door de Hermit-spyware, maar RCS Lab richtte zich vooral op overheidsdiensten. Doelwit zouden dan vooral activisten, journalisten, politieke tegenstanders en voorvechters van mensenrechten kunnen zijn.

Hermit lijkt dus niet gericht op gewone gebruikers. Maar het bestaan ervan maakt wel duidelijk dat er iets mis is met de beveiliging van iOS. Bedrijven zoals NSO Group besteden miljoenen aan onderzoek om de beveiliging van iOS te omzeilen.

Hermit-certificaten ingetrokken

Apple heeft nu de certificaten voor Hermit ingetrokken, waardoor het niet meer gebruikt kan worden op toestellen en zich niet verder kan verspreiden. Op iOS en Android werd de spyware verspreid buiten de App Store en Google Play om via sideloading. De aanvallers stuurden een tekstbericht met een kwaadaardige link naar de slachtoffers, waardoor de app werd geïnstalleerd. Dat lukte bij Android heel eenvoudig, maar voor iOS moesten de aanvallers een omweg verzinnen. Hermit werd daarom verspreid als een zakelijke app, via het Apple Developer Enterprise Program. Dit is bedoeld voor bedrijven die apps aan hun medewerkers beschikbaar willen stellen, zonder dit via de App Store te doen. Deze apps hoeven niet te worden goedgekeurd door Apple, waardoor ze gemakkelijk de controles kunnen omzeilen. Tegelijk is het goed om te weten dat ook deze apps niet zomaar bij je gebruikersdata of bij de interne systeembestanden kunnen komen.

De spyware was vermomd als een telecom- of berichten-app en zorgde dat telefoongesprekken werden omgeleid, het maakte audio-opnames via de microfoon en verzamelde foto’s, berichten, e-mail en de locatie van het apparaat. Om dit te kunnen doen moet de app wel toestemming vragen, dus op dit punt ligt en een verantwoordelijkheid bij de gebruiker: geef niet zomaar toestemming tot je fotocollectie, camera en microfoon.

Slachtoffers van de spyware zouden zich onder andere in Italië zelf en in Kazachstan bevinden. Het zou ook gebruikt zijn in Syrië. Volgens Apple zijn alle bekende accounts en certificaten van Hermit nu ingetrokken, zodat er geen distributie buiten de App Store om meer kan plaatsvinden.