Belgische douane kraakte 17 smartphones van mensen die weigerden hun toestel te ontgrendelen
Sinds januari 2024 beschikt de douane, onderdeel van de FOD Financiën, over een toestel dat smartphones kan ontgrendelen. Het gaat om de zogeheten Graykey van het Amerikaanse bedrijf Grayshift, tegenwoordig onderdeel van Magnet Forensics. Het apparaat maakt gebruik van beveiligingslekken om smartphones te ontgrendelen. Dat werkt zowel bij Android als bij iOS.
De Belgische overheid betaalt 64.000 euro voor het gebruik van het toestel over een periode van vier jaar. Dat het toestel ook effectief wordt gebruikt, blijkt uit antwoorden op schriftelijke vragen van Vincent Van Quickenborne (Anders) in de Kamer. Van Quickenborne kaartte de kwestie aan omdat hij zegt bezorgd te zijn over mogelijke privacyinbreuken. Met het toestel kan de douane immers toegang krijgen tot de smartphones van verdachten, waarop tegenwoordig vaak een groot deel van iemands persoonlijke leven staat opgeslagen.
Volgens Jan Jambon (N-VA), minister van Financiën en dus verantwoordelijk voor de douane, wordt de Graykey alleen ingezet na toestemming van een magistraat. Volgens hem gebeurt dat binnen de grenzen van de geldende wetgeving. Ook benadrukt het kabinet dat het toestel alleen wordt gebruikt in ‘zware dossiers van fraude en ontduiking van accijnzen en belastingen’.
Niet voor gewone belastingcontroles
Volgens de minister hoeft de gemiddelde belastingplichtige zich weinig zorgen te maken. Wie zijn fiscale zaken op orde heeft, zal er in principe nooit mee te maken krijgen.
Ook bij kleine overtredingen zou de opsporingsdienst niet snel naar de Graykey grijpen. Bovendien wordt het toestel gebruikt door de Algemene Administratie van de Douane en Accijnzen, en niet door de belastinginspectie van de FOD Financiën die de gewone belastingcontroles uitvoert.
Vragen over mogelijke privacyinbreuken
Toch neemt Van Quickenborne de zaak ernstig. Volgens hem volstaat het antwoord van Jambon niet en wil hij meer duidelijkheid over het exacte gebruik van het toestel. Zo is bekend dat de Graykey al 17 keer werd ingezet, maar uit de antwoorden blijkt niet bij welke dossiers of onderzoeken dat precies gebeurde. “Op een smartphone staan veel persoonlijke zaken. Hoe wordt hiermee omgegaan?”, vraagt de Anders-politicus zich af.
De Graykey staat bovendien niet op zichzelf. Ook lokale politiezones maken gebruik van apparaten om smartphones te ontgrendelen. In veel gevallen gaat het daarbij om toestellen van Cellebrite. Of de Graykey ook bij andere Belgische overheidsdiensten wordt gebruikt, is op dit moment niet duidelijk.
Hoe werkt zo’n Graykey?
Bedrijven zoals Grayshift maken gebruik van beveiligingslekken in smartphones. Zulke kwetsbaarheden duiken geregeld op en worden normaal gesproken door bedrijven als Apple of Google opgelost via beveiligingsupdates. Maar voordat zo’n lek wordt gedicht, kan het soms worden gebruikt om het vergrendelscherm van een smartphone te omzeilen of toegang te krijgen tot opgeslagen bestanden.
Vaak worden dit type kwetsbaarheden ontdekt door private beveiligingsonderzoekers. In plaats van ze te melden bij Apple of Google, verkopen die onderzoekers de informatie aan bedrijven zoals Magnet Forensics. Dat kan immers aanzienlijk meer geld opleveren.
Rond die handel in beveiligingslekken is inmiddels een volledige markt ontstaan. Daarbij geldt wel dat tools zoals de Graykey doorgaans beter werken op oudere smartphones die geen recente beveiligingsupdates meer krijgen.
