Screenshots van de 'gekraakte' chat-app NOS

Beveiliging door politie gekraakte 'cryptofoons' was twijfelachtig

tijd van publicatie
Geschreven door
Joost Schellevis
redacteur Tech

De criminelen die werden afgeluisterd door de politie van Oost-Nederland bij het gebruik van zogeheten cryptofoons, waren relatief eenvoudig om de tuin te leiden. Dat blijkt uit onderzoek van de NOS. Alleen gebruikers van de telefoons die bij het starten van elk chatgesprek opletten, merkten dat er iets mis was met hun verbinding.

De politie wist ruim 250.000 berichten van criminelen in handen te krijgen door het oprollen van de dienst, zo werd gisteren bekend. Tientallen mensen zijn opgepakt en de politie kwam zaken als drugshandel, wapenbezit en witwassen op het spoor. Ook twee mannen die werden verdacht van betrokkenheid bij de app, zijn opgepakt.

De bewuste chatdienst, IronChat, hanteerde een sterke vorm van versleuteling. Daarbij hebben alleen de geprekspartners de wiskundige sleutel in handen waarmee berichten kunnen worden gelezen. Ook het populaire WhatsApp gebruikt die vorm van versleuteling.

Maar als die wiskundige sleutel door een hacker stiekem wordt vervangen door een lopersleutel, kan een onbevoegde wel meelezen. Als de politie dat in dit geval had willen doen, was dat een goede ingang: de versie van de IronChat-app die de NOS onderzocht, waarschuwde zijn criminele gebruikers nauwelijks als de verbinding mogelijk werd onderschept.

Alleen criminelen die handmatig de wiskundige handtekening van hun geprekspartners controleerden, kunnen hebben gemerkt dat ze werden afgetapt. "Versleuteling is ingeschakeld, maar gesprekspartner is niet geverifieerd", toonde de app bij een cryptografische sleutel die niet werd herkend.

"De gemiddelde gebruiker snapt zonder uitleg niet wat dit precies betekent", zegt onderzoeker Rik van Duijn van beveiligingsbedrijf Dearbytes. "Je zou verwachten dat een app die zich zo duidelijk op encryptie richt, duidelijker is."

Doordat de waarschuwing in een veel kleiner lettertype wordt gegeven dan de rest van het gesprek en er geen opvallende kleuren worden gebruikt, is de kans groot dat gebruikers er overheen lezen.

Het uiterlijk van IronChat NOS

Dat een cryptografische sleutel is veranderd, hoeft niet per se te betekenen dat er wordt geknoeid met de verbinding. "Het kan ook zijn dat iemand de app opnieuw heeft geïnstalleerd of een nieuwe telefoon heeft, want dan krijg je ook een nieuwe sleutel", zegt Van Duijn. "Maar als je dat niet controleert, weet je niet of je misschien met heel iemand anders aan het praten bent."

Of de politie inderdaad op deze manier te werk is gegaan, is onbekend. Wel bevestigde een woordvoerder de politie dinsdagavond dat de server die is gebruikt om berichten uit te wisselen, is gekraakt. Hoe dat precies is gebeurd, is onbekend: de politie houdt de kaken stijf op elkaar.

Andere fouten

De chat-app valt ook op door andere onvolkomenheden. Zo controleert de app niet standaard of de computerserver die wordt gebruikt om berichten uit te wisselen met andere gebruikers, wel de juiste is. Daardoor was het nog makkelijker om berichten van gebruikers te onderscheppen.

Ook betalen gebruikers honderden tot duizenden euro's per jaar om de app te mogen gebruiken, maar is de app nauwelijks beschermd tegen mensen die hem gratis willen gebruiken. In ruil voor hun geld krijgen gebruikers een code die ze moeten invoeren in een activatiescherm. Dat scherm blijkt echter eenvoudig te omzeilen.

De paniek-modus in IronChat NOS

"Die code was gewoon een combinatie van een aantal getallen", zegt onderzoeker Van Duijn, die de code kraakte. "Iedereen die kan optellen, kan die combinatie achterhalen." Wel moet iemand daarvoor de broncode van de app kunnen lezen.

De app bevat verder een functie, die alle gegevens in één keer zou moeten verwijderen maar in de praktijk weinig uithaalt. "Zo goed als nutteloos", aldus privacy-onderzoeker Floor Terra op Twitter: "Geen enkel probleem om gewiste bestanden terug te halen en lang niet alle interessante bestanden worden verwijderd."

Stickers

Hoewel IronChat in de kern niet veel verschilt van legitieme chatapps als WhatsApp, zijn er wel een aantal verschillen. Zo vallen de 'IronMoticons' op, digitale stickers die gebruikers naar elkaar kunnen sturen. Opvallend is de "Shoot'M'-sticker. Ook zijn de makers mogelijk geen fan van Donald Trump: de 'Dumb Donald'-knop levert een afbeelding van Donald Trump op.

De IronMoticons NOS

Ook doet de versie van de app die de NOS onderzocht, zich standaard voor als een app voor medische doeleinden. Zo heet de app 'Medicom', heeft het icoon van de app de uitstraling van dat van een medische applicatie en is er in het loginscherm een stethoscoop te zien. Pas nadat een gebruiker is ingelogd, is de naam IronChat te zien. In een oudere versie van IronChat zit een speciale 'politiemodus', maar onduidelijk is wat die doet.

Apparaten

De makers van IronChat richtten zich ook op andere diensten: zo boden ze een wifi-router aan die standaard alle verbindingen versleutelt, wat bijvoorbeeld aftappen lastiger maakt. Ook boden de makers de dienst IronTrack aan, die het mogelijk lijkt te maken om iemands fysieke locatie te volgen. Het volgen van elkaars locatie is populair in criminele kringen, bijvoorbeeld om een liquidatie voor te bereiden.

'Medicom', zoals de app zichzelf noemt NOS

STER reclame