Privacy
Chatapp ToTok blijkt spionageapp van de Emiraten
ToTok, een gratis bel- en chatapp die erg populair is in grote delen van de wereld, is eigenlijk een spionagetool van de Verenigde Arabische Emiraten. Tot dat besluit komt The New York Times na een uitgebreid onderzoek. Google en Apple beslisten daarom ToTok uit hun appstores te halen.
Het onderzoek van de krant toont aan dat de informatie die de app verzamelde, terechtkwam bij inlichtingendiensten in de Verenigde Arabische Emiraten. ToTok blijkt ook verbonden aan Pax AI, een databedrijf dat in hetzelfde gebouw huist als de inlichtingendienst van de VAE, en het cybersecuritybedrijf DarkMatter. Van dat bedrijf wordt al langer vermoed dat het spionage- en hackingopdrachten uitvoert voor de overheid.
In ons land kwam ToTok, dat begin dit jaar op de markt kwam, tot nog toe niet van de grond. Maar in onder meer het Midden-Oosten en de VS was de app een groot succes. Ook in de Verenigde Arabische Emiraten werd het door talloze mensen gebruikt. Miljoenen mensen over de hele wereld downloadden de app. Mogelijk kwamen de persoonlijke data van miljoenen mensen onbedoeld in handen van de inlichtingendiensten terecht.
Gemak
Opvallend is het gemak waarmee de spionage opgezet werd. ToTok is een relatief eenvoudig te ontwikkelen app, en ziet eruit als tientallen andere varianten in het genre. De naam doet denken aan de immens populaire app TikTok – mogelijk was dat bewust, om een graantje van het succes mee te pikken.
Het verhaal van ToTok toont niet alleen aan hoe ver overheden willen gaan om informatie over burgers in te winnen. Het is een bewijs van hoe nonchalant we met onze eigen persoonlijke data omgaan. ToTok vroeg na de installatie onder meer toegang tot de locatiegegevens van het toestel – om het lokale weerbericht te kunnen tonen – en toegang tot het telefoonboek, de oproep- en berichtengeschiedenis van de gebruiker. “De meeste mensen gaan hier echt veel te licht over”, zegt Eddy Willems, beveiligingsexpert bij cybersecuritybedrijf G DATA. “Je kan die toestemmingen blokkeren, maar geen kat die de moeite neemt om dat ook te doen.”
Voor veel mensen voelt het delen van die informatie tegenwoordig alledaags: ook bankapplicaties of de app van De Lijn vragen toegang tot locatiegegevens. Het is ook logisch dat berichtenapps toegang willen tot de berichtengeschiedenis. Maar het verhaal verandert wanneer blijkt dat de data verzameld worden voor grootschalige overheidsspionage. Volgens Willems is het daarom cruciaal altijd na te kijken waar een app vandaan komt. “Chinese en Russische apps komen er bij mij gewoon niet meer in.”
Verwonderlijk is dit verhaal allerminst, zegt Bart Preneel, een gerenommeerd beveiligingsspecialist verbonden aan de KU Leuven. “Landen als de Emiraten investeren veel in cyberspionage. DarkMatter staat daarvoor bekend. Maar zo zijn er ook bedrijven in Europa. Dat is gewoon een business geworden, en het hoeft niet te verbazen dat grote landen dit doen.” Ook Willems ziet een duidelijke trend. “Dit geeft volgens mij aan waar een heleboel regeringen aan denken, als ze het al niet doen. Er is een tendens van grote staten die het internet onder controle willen houden. Het begint echt te ontsporen.”
In de VAE is dat al langer het geval. Gekende communicatieapps als WhatsApp en Skype worden er al geruime tijd beperkt en geblokkeerd. Dat werkte de snelle verspreiding van ToTok wellicht in de hand. “Door bepaalde apps te filteren, leidt de overheid je naar andere apps”, zegt Preneel. In Europa is de context heel anders. Het internet wordt hier niet op die manier beperkt. Maar, zo waarschuwt Preneel, ook hier is het onduidelijk wat er allemaal met onze data gebeurt. “Honderden apps doen wat ToTok doet. De verzamelde informatie wordt vaak gebruikt voor advertentietechnologie, zoals bij Google en Facebook. Maar we weten al lang dat er ook informatie uit die apps gaat naar inlichtingendiensten zoals de Amerikaanse NSA.”
