Innovatie & Strategie

Security
James Bond

James Bond op TikTok

Wat deden die spionnen toch moeilijk vroeger

© Shutterstock OSTILL
10 oktober 2022

James Bond bestaat inmiddels zestig jaar en in die films staat internationale spionage centraal. Hoe dat er in het echt uitzag, is te lezen in een mooi artikel naar aanleiding van opgedoken KGB-stukken over hun ontdekking van Amerikaanse afluisterpraktijken: 23 pagina's met foto's van door de Amerikanen geplaatste afluisterapparatuur.

De titelpagina (letterlijk vertaald): speciale apparatuur voor het geheim opvragen van informatie die is onthuld in de gebouwen van Sovjetmissies in Washington. Het gedeclassificeerde document kwam uit Poolse koude oorlogsarchieven. De afluisterapparatuur was in Washington, San Francisco, New York, een buitenhuis, auto's van diplomaten en meer geplaatst. De bugs werden gevonden in kasten, achter het stucwerk, achter stopcontacten, in het beton, in raamkozijnen, in houten balken, in de fundering, enzovoort.  Allemaal miniatuur-elektronica met uiteraard zo klein mogelijke batterijtjes om de zaak zowel te kunnen verbergen als het draaiende te houden. De CIA had geen enkel middel ongemoeid gelaten om de Russen af te kunnen luisteren.

Afluisteren werkt tegenwoordig anders. Bugs zitten nu verborgen in apps en niet achter het behang of in een autostoel. Een recent voorbeeld: in elke socialmedia-app kun je ook nog eens een eigen browser inbouwen, in plaats van de standaard browser die al op de telefoon staat, aan te roepen. De reden om dat te doen is dat je dan allerlei code kunt uitvoeren die in je standaard browser vast niet is toegestaan. Meestal kun je dat oplossen door in zo'n app alsnog je eigen browser in te stellen.

Maar bij TikTok kan dat niet. En dat is gevaarlijk omdat TikTok elke individuele toetsaanslag blijkt te loggen, maakte Felix Krause onlangs bekend. Hij ontdekte dit met een zelfgemaakte tool, bedoeld om te achterhalen of een app Java code uitvoert onder de motorkap. Deel de URL 'InAppBrowser.com' ergens in die app - bijvoorbeeld via een DM aan een kennis -, klik op de URL en je krijgt een rapport op je scherm dat je meteen vertelt welke Java-code is uitgevoerd. Niet alles kan worden gevonden, maar een deel wel.

Dan blijkt dat als je vanuit de TikTok-browser bestellingen doet of inlogt op een andere site, TikTok al je gegevens vrolijk vastlegt, zoals passwords en creditcard gegevens  Deze nieuwe vorm van afluisteren heeft als voordeel dat de apparatuur niet geplaatst hoeft te worden, de afgeluisterde laadt hem zelfs voor je op, verbindt hem met  internet en installeert en gebruikt de afluisterapparatuur zelf. Dit klinkt zo onwerkelijk dat dit alleen maar kan in de nieuwste James Bond film.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (november 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.

Reactie toevoegen