Verraden door je telefoon

 

Afbeelding via Pixabay

Afgelopen dinsdag was ik in het auditorium van het Van der Valk-hotel in Venlo. Ja, dat was even slikken; zo’n collegezaal is een tikkeltje intimiderend, maar na vier presentaties aan groepen collega’s over de risico’s van je online bestaan zat hij me als gegoten.

Een belangrijk onderdeel van die risico’s heeft te maken met je privacy. Want terwijl jij lekker gratis allerlei apps zit te gebruiken, doen de meeste apps daarnaast ook nog iets voor zichzelf: ze verzamelen data over jou. En die informatie verkopen ze door aan advertentiebedrijven, die deze informatie weer gebruiken om profielen te maken. Daar hangt niet per se meteen jouw naam aan vast: mobiele toestellen werken met een advertentie-ID, die gekoppeld is aan je toestel. Is je privacy daardoor goed beschermd? Mwah.

Zoals wel vaker in de informatiebeveiliging draait het hierbij om wie je bent, of soms ook wat je bent. Neem bijvoorbeeld phishing. Dat kan op twee manieren: de crimineel gebruikt een sleepnet en ziet dan wel wat hij vangt, of hij gebruikt een speer om precies dat ene visje te verschalken dat hij wil hebben. Bijvoorbeeld omdat hij weet dat die persoon bij het geld van het bedrijf kan en daardoor een mooi doelwit is om een mailtje ‘van de directeur’ te ontvangen, waarin staat dat hij onmiddellijk een mooi bedrag naar een bepaalde bankrekening moet overmaken. Deze vorm van phishing heet spearphishing; je begrijpt nu waarom.

Terug naar de reclamewereld. Er worden dus profielen gemaakt voor reclamedoeleinden, maar wie zegt dat die profielen alleen voor dat doel kunnen worden gebruikt? Stel, je beschikt over zo’n verzameling profielen. Je zou dan  een kaart kunnen maken waarop je alle toestellen in een bepaald gebied ziet. Je weet niet van wie ze zijn, je ziet alleen de advertentie-ID’s. Vervolgens zou je een van die ID’s eruit kunnen lichten en de vraag als het ware omdraaien: waar is dit toestel overal geweest? Dat levert misschien een beeld op van plaatsen waar het toestel vaak is. En dat biedt dan weer de mogelijkheid om te achterhalen waar iemand werkt én waar hij woont.

Voor de meesten van ons is dat geen bedreiging – daar zijn we niet interessant genoeg voor. Maar je zult maar een crimineel zijn en dus de politie achter je aan hebben. Door het gebruik van informatie, die eigenlijk is bedoeld voor het plaatsen van advertenties, kunnen ze misschien dicht bij je in de buurt komen. Helaas werkt het ook de andere kant op: je zult maar opsporingsambtenaar zijn en met het soort criminelen te maken hebben dat óók over dergelijke informatie kan beschikken. Weliswaar heb je daar ook gespecialiseerde software voor nodig. Nette bedrijven, die zoiets zouden kunnen maken, zouden een dergelijk product waarschijnlijk alleen leveren aan opsporingsdiensten. Helaas wordt de georganiseerde criminaliteit ook steeds slimmer en bovendien hebben ze geld zat om iets dergelijks te laten bouwen. Dat kan een serieuze dreiging zijn. In het kader van personeelszorg heeft de FIOD dan ook gevraagd om een blog over dit onderwerp. Maar natuurlijk kan het ook voor andere collega’s en voor mensen daarbuiten relevant zijn.

Je kunt hier vrij gemakkelijk iets aan doen. De advertentie-ID van je toestel kan namelijk worden uitgezet. Daardoor word je onzichtbaar op de kaart, en komt je toestel niet in beeld als iemand de vraag mocht stellen: welke toestellen zijn rond acht uur ‘s ochtends en vijf uur ‘s middags rond dit kantoorpand aanwezig? Advertentiebedrijven als Google en Meta zullen je erop wijzen dat je dan ‘minder relevante’ reclame te zien krijgt. So what! Die reclame voor kinderwagens schuif ik dan wel net zo gemakkelijk terzijde als reclame voor hardloopschoenen. En oh ja, als je tijdens je werk ook je privételefoon op zak hebt, dan wil je de advertentie-ID ook op dat toestel om zeep helpen. Hier staat compact beschreven hoe je dat doet in iOS/IpadOS en in Android. En in dit filmpje legt John Oliver (de Brits-Amerikaanse Arjen Lubach) nog eens uit hoe het verhandelen van jouw gegevens in z’n werk gaat. Het hele filmpje is interessant; spoel door naar 10:10 als je alleen het stuk over telefoonlocatie wilt zien.

Bovenstaande tips zijn natuurlijk alleen bedoeld voor mensen aan de goede kant van de wet. Voor criminelen is het juist aan te raden om de tips niet op te volgen, want dat zou allerlei nare consequenties kunnen hebben.

En in de grote boze buitenwereld …

• loopt Amerika voorop met het reguleren van AI.
• investeert Nederland in een eigen AI-taalmodel.
• lees je hier alles wat je nodig hebt voor een businesscase voor IAM-programma’s.
• is de CISO van SolarWinds aangeklaagd wegens fraude.
• hebben tientallen regeringen plechtig beloofd om nooit toe te geven aan ransomware-eisen.
• lees je hier de complete verklaring. Ook Nederland doet mee.
• is betalen wel vaak de gemakkelijkste oplossing bij een ransomware-aanval.
• helpen overheidssancties (een beetje) tegen ransomware.
• is een bedrijf als Boeing ongetwijfeld een vette vis voor ransomwarecriminelen.
• is de overstap naar post-quantum cryptografie voor veel organisaties helemaal niet zo moeilijk.
• heeft de rechter een Amersfoorter veroordeeld voor het maken en verspreiden van een deepfakevideo.
• wordt een botnet soms door anderen dan de politie om zeep geholpen.