Vele tienduizenden Nederlandse studenten zijn maandenlang gemakkelijk te hacken geweest, omdat hun opleiding hen verplichtte onveilige antispieksoftware te installeren. Kwaadwillenden konden daardoor toegang krijgen tot hun online accounts en meegluren met hun webcam.
Het lek zat in Proctorio, de populaire software die door universiteiten en hogescholen wordt gebruikt om studenten thuis hun tentamens te laten maken. Het programma moet ervoor zorgen dat studenten niet frauderen door bijvoorbeeld antwoorden op vragen op te zoeken met een zoekmachine of hulp te krijgen van een medestudent.
"Het is schokkend dat we door Proctorio zo makkelijk te hacken waren", zegt Manish Jhinkoe-Rai, voorzitter van de studentenraad van de Universiteit van Amsterdam (UvA). De Landelijke Studentenvakbond (LSVb) wil dat de online privacy en veiligheid van studenten beter worden beschermd: "En dat we niet meer worden gedwongen om dit soort onveilige software te gebruiken", stelt LSVb-voorzitter Ama Boahene.
Om fraude te detecteren, wil Proctorio verregaande rechten op een computer. Zo heeft de software toegang tot de camera en microfoon van de laptop om de student in de gaten te houden. Met de camera worden beelden opgenomen en wordt er gecontroleerd of een student van het scherm wegkijkt. Als dat te vaak gebeurt, zou dat volgens de software erop kunnen duiden dat de student aan het spieken is.
Veel functies van spyware
Daarnaast heeft Proctorio de volledige toegang tot alle websites die je met de browser bezoekt en controleert de software welke bestanden er worden gedownload. De software wordt geactiveerd zodra je een specifieke website van de hogeschool of universiteit bezoekt. In de browser kleurt het icoontje van Proctorio dan groen.
Criminelen kunnen misbruik maken van diezelfde verregaande rechten van Proctorio. "De software heeft veel functionaliteiten die we ook terugzien in spyware", legt Daan Keuper van cybersecuritybedrijf Computest uit. Hij onderzocht de software samen met zijn collega Thijs Alkemade op verzoek van RTL Nieuws. "Juist bij dat soort software met zo veel rechten moet je oppassen en afvragen of het risico op misbruik niet te groot is."
Criminelen kunnen de software van Proctorio misbruiken om mee te gluren met de webcam en opnames te maken. Studenten zouden met compromitterende beelden kunnen worden afgeperst, waarschuwen experts. Een ander groot risico is dat de kwetsbare Proctorio-software toegang biedt tot online accounts, zoals je e-mail, betaaldiensten of crypto (de zogeheten online wallet). Met een druk op de knop zou de crimineel bijvoorbeeld bitcoins kunnen stelen.
Met druk op de knop gehackt
De student hoeft daarvoor nauwelijks iets te doen. Het drukken op een linkje is al genoeg om de hack uit te voeren waarna de aanvaller Proctorio activeert en al zijn functies kan misbruiken. Normaal kleurt het icoontje van de software dan groen, maar ook dat kan een criminele hacker uitschakelen, waarschuwt Keuper: "Dan ziet het slachtoffer niet eens dat hij is gehackt."
Bij nieuwere laptops, waaronder de Macbooks van de laatste jaren, gaat er een groen indicatielampje aan als software de webcam activeert. Dat is niet zomaar uit te schakelen, stelt Keuper: "Door daarop te letten weet je dat je webcam wordt ingeschakeld. Ook Chrome en de laatste versie van MacOS tonen wanneer je camera of microfoon worden ingeschakeld."
Hoe werkt de hack?
Het gaat bij Proctorio om een zogeheten universal cross-site-scripting-aanval (UXSS). Bij zo'n aanval kan een crimineel code uitvoeren op elke website die je bezoekt en bijvoorbeeld wachtwoorden onderscheppen of de ontvanger van een overboeking aanpassen. Het lek zit dan meestal in de browser of een browserplugin die je gebruikt.
Het linkje waar de gebruiker op moet klikken leidt naar een website van de aanvaller die elk uiterlijk kan hebben. Deze specifieke website activeert de plugin van Proctorio, waarna de kwetsbaarheid kan worden misbruikt. Door Javascript op de website van bijvoorbeeld Gmail of PayPal te activeren kunnen respectievelijk e-mails worden gelezen of betalingen worden overgeboekt.
De kwetsbaarheid in Proctorio was vrij snel gevonden, legt Alkemade uit: "Hoewel de ontwikkelaars hebben geprobeerd om dergelijke kwetsbaarheden te voorkomen, waren ze vergeten om op een specifieke plek een essentiële beveiliging toe te voegen." Door het ontbreken van die beveiliging was het mogelijk om de Proctorio-software te hacken.
Lek is gedicht
Op 18 juni hebben de ethisch hackers van Computest de kwetsbaarheid gemeld bij Proctorio en een week later zei het bedrijf dat het lek was gedicht. Dat hebben Keuper en Alkemade vervolgens bevestigd. Omdat browserplugins standaard automatisch worden geüpdatet, gebruiken studenten inmiddels een versie die niet meer kwetsbaar is voor deze specifieke aanval.
Proctorio laat weten blij te zijn dat het lek is ontdekt door Computest, maar reageerde niet op de vraag of het bedrijf kan uitsluiten dat de kwetsbaarheid door criminelen is misbruikt.
"Het is een grove misser van de universiteit dat het in zee is gegaan met een partij die zijn zaken niet op orde heeft", vertelt Jhinkoe-Rai. "Ook zijn we niet goed ingelicht over de risico's van het gebruik van Proctorio. We mogen blij zijn dat het lek dit keer is gevonden door ethisch hackers in plaats van cybercriminelen."
Keuper en Alkemade raden studenten aan om na het tentamen Proctorio of andere proctoring-software te verwijderen van hun computer. "Het is in het algemeen een goed idee om plugins die je niet meer nodig hebt te verwijderen", legt Alkemade uit. "Je kan ook nog een apart browserprofiel aanmaken, bijvoorbeeld in Chrome, dat je alleen gebruikt om online tentamens te maken."
Proctorio is favoriet
Een grote meerderheid van de Nederlandse hogescholen en universiteiten zijn sinds de pandemie gebruik gaan maken van proctoring-software. Proctorio is de grote favoriet: onder andere de UvA, Vrije Universiteit Amsterdam, Universiteit Tilburg, Hogeschool van Amsterdam en de Hogeschool Utrecht maken gebruik van van deze software.
De studentenraad van de UvA heeft eerder een zaak aangespannen tegen de UvA vanwege de inzet van Proctorio. Volgens de studenten is de software veel te ingrijpend en zijn er andere en minder privacyinbreukmakende alternatieven beschikbaar, zoals openboektentamens. De rechter was het daar niet mee eens, en stelde dat er door de pandemie wel degelijk een noodzaak was om dit soort software in te zetten.
De UvA heeft begin 2020 Proctorio gevraagd om een onafhankelijke pentest (ethisch hackers die lekken proberen te vinden) uit te laten voeren op hun plugin en infrastructuur. "In dat zorgvuldig doorlopen traject zijn er op dat moment geen kwetsbaarheden aangetroffen", laat een woordvoerder weten. Ook zijn er volgens de universiteit geen indicaties dat de kwetsbaarheid is misbruikt.
De tentamens vinden volgens de UvA weer zo veel mogelijk fysiek op de campus plaats. De inzet van Proctorio is in alleen een optie als er geen andere mogelijkheden zijn om het tentamen af te nemen, zo stelt de universiteit. Ondanks dat moeten studenten van verschillende UvA-faculteiten toch weer verplicht Proctorio gebruiken om hun tentamens te maken, zo stelt Jhinkoe-Rai.
Een aantal universiteiten en hogescholen hebben juist besloten om geen gebruik te maken van antispieksoftware, zoals de Avans Hogeschool en Hogeschool Leiden. "Het tast de privacy te veel aan, technisch zitten er haken en ogen aan en ook inhoudelijk zijn wij een hogeschool die op basis van vertrouwen met elkaar omgaat", zo vertelde bestuursvoorzitter Paul Rüpp van de Avans Hogeschool in een videoboodschap aan studenten.
De LSVB deed eerder al een oproep aan onderwijsinstellingen om het gebruik van proctoring te stoppen. Volgens voorzitter Boahene zou software als Proctorio alleen in 'uitzonderlijke gevallen' moeten worden gebruikt: "Als een student niet fysiek naar een tentamen kan komen, dan zou de onderwijsinstelling op een later moment een eveneens fysieke herkansing moeten aanbieden."
Niet eens naar de wc
Andere tentamenvormen, zoals een openboektentamen, zouden volgens Boahene ook een mogelijkheid zijn: "Voor mijn studie Rechten aan de Universiteit Utrecht heb ik tijdens de pandemie thuis openboektentamens gemaakt. Dat zijn tentamens die je niet kunt maken zonder de stof te kennen, zelfs niet als je een studieboek of Google gebruikt."
Het belangrijkste is volgens zowel Jhinkoe-Rai als Boahene dat studenten niet meer standaard worden verplicht om Proctorio te gebruiken. Beiden zien dat opleidingen steeds vaker fysiek tentamens afnemen. Boahene: "Met het gebruik van die software konden studenten tijdens een tentamen niet eens meer naar de wc omdat dat als fraude werd gedetecteerd. Ik ben heel blij dat we daar langzaam vanaf aan het komen zijn."
'Gebruik alleen je browser'
Een tip van de ethisch hackers Keuper en Alkemade, die eerder 200.000 dollar verdienden door Zoom te hacken, is om zo veel mogelijk de browser te gebruiken, en zo min mogelijk extra software te installeren. "De browser is één van de meest veilige programma's op je computer", legt Keuper uit. "Door zo veel mogelijk in de browser te doen, bijvoorbeeld e-mailen, videobellen en documenten bewerken, verminder je het risico dat je wordt gehackt. Hoe meer software op je computer, hoe meer potentiële kwetsbaarheden er zijn."
