Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 83 reacties, 38.947 views •
Submitter: Soldaatje

Een Franse hacker heeft schuld bekend aan het stelen van ongeveer 500.000 euro via een frauduleuze smartphone-applicatie. De app zou ongeveer 17.000 smartphones hebben getroffen, waarbij vooral Android-gebruikers slachtoffer zijn geworden.

De twintigjarige Franse fraudeur heeft tegenover de autoriteiten bekend vanuit zijn ouderlijk huis applicaties te hebben verspreid onder smartphonegebruikers, waarbij hij adverteerde met gratis downloads. Op de achtergrond werden echter sms'jes gestuurd naar een duur nummer, dat de Fransman zelf had opgezet.

Volgens de autoriteiten heeft de twintigjarige verdachte sinds hij in 2011 met zijn activiteiten begon ongeveer een half miljoen euro binnengehaald. Overigens draaide er ook een keylogger op de achtergrond in de door de Fransman verspreidde apps. Er is verder niets bekendgemaakt over welke gebruikers slachtoffer zijn geworden, al zouden Android-gebruikers het meest vatbaar zijn geweest.

Reacties (83)

Reactiefilter:-183076+143+22+30
Moderatie-faq Wijzig weergave
Ik vermoed dat iOS gebruikers niet met dit voorval te maken hebben gehad, want binnen iOS is de API voor het verzenden van SMS berichten verborgen voor "third-party" ontwikkelaars. Helaas biedt het artikel niet meer duidelijkheid hierover.

Correctie: er is wel een API om SMS berichten te versturen, maar hierbij wordt het standaard dialoogvenster van Apple getoond en de gebruiker moet een "OK" knop indrukken om het bericht daadwerkelijk te verzenden. Het is niet mogelijk om dit soort berichten in de achtergrond automatisch te versturen. Zie: http://stackoverflow.com/...ly-send-sms-on-the-iphone

[Reactie gewijzigd door MacWolf op 19 oktober 2012 11:25]

En precies deze oplossing wordt (hopelijk) straks ook toegepast op Android, niet meer dan normaal in mijn ogen ook.
Tweakers: "Door het geven van een bevestiging voor het sturen van een bericht naar een dure sms-dienst, moet voorkomen worden dat apps misbruik maken van hun recht om sms'jes ongemerkt te sturen. "
Maar precies hetzelfde soort beveiliging zit em in de dailer, je kunt niet zomaar een nummer bellen zonder zelf op de knop te drukken. Zou je zeggen...

Toch zijn er manieren geweest om hier voorbij te komen. Volgens mij waren zowel voor Android (2.1) als voor iOS (v 3) toen de tijd al overlay-dailer-malware applicaties aanwezig, die je in een menu iets lieten indrukkken ("ready" in een game na new game kiezen bijvoorbeeld), waarbij je zonder het te zien eigenlijk via het touchscreen "dail" indrukte!!

Het gesprek werd na 2 sec weer verbroken, maar je was wel $x kwijt voor het gesprek naar een betaald nummer.

Malware makers zullen en kunnen ver gaan om om allerlei beveiligingsmechanismen heen te komen, inclusief user-input dus!
En precies deze oplossing wordt (hopelijk) straks ook toegepast op Android, niet meer dan normaal in mijn ogen ook.
Liever niet ik gebruik niet de native sms-client en zou bij elke SMS dan dubbel moeten bevestigen.

Ja het is een zwakheid van Android, maar ook het sterker punt (ik kan daardoor namelijk een eigen SMS app ipv de stock versie gebruiken wat anders niet lekker had gewerkt)...

Dat is het mooie dat het zo anders is dan iOS en juist NIET hetzelfde!
Nou, er komen anders een hoop problemen van, zoals deze.

Op iOS kan je dit soort dingen ook met een jailbreak, terwijl alle apps uit de AppStore gewoon veilig zijn. Apps uit cydia zijn een ander verhaal, maar je hebt in ieder geval een "safe haven", wat met Android dus duidelijk niet het geval is.

[Reactie gewijzigd door jeffhuys op 19 oktober 2012 13:51]

Hard nodig dus, de oplossing van Google zelf:

nieuws: Google gaat Android-toestellen scannen op malware

Als één hacker al zoveel geld kan buit maken..
Het kan ook zijn dat de app buiten de Play Store om werd verspreid. Dit blijft echt niet zo lang erin staan.
Quote uit nieuwsbericht:

"Google vraagt aan gebruikers of zij de scanner toestemming willen geven om alle geïnstalleerde applicaties na te kijken op de aanwezigheid van malware."

De malwarescanner lijkt los te staan van de Play store (al wordt hij wel aangeboden via de Play store) en scanned dus ook de APPS die niet via de Play store zijn geinstalleerd.

[Reactie gewijzigd door Ruvetuve op 19 oktober 2012 11:28]

Google werkt inderdaad aan beide varianten. Een malware scanner die ingebakken wordt in het OS en eenzelfde soort scanner welke apps in de Play Store interactief zelf scant:

In de Play Store komt dus ook een functie om je geïnstalleerde apps te scannen: Zie hier
Nadeel van de playstore op dit moment, is dat de apps pas gecontrolleerd worden nadat ze erop zijn gezet. Hopelijk vernaderen ze dit snel, want dit is ook de reden waarom er gemakkelijk dit soort apps op de playstore kunnen staan.
Een malware scanner op je telefoon... :/
De nieuwe methode van Google scant juist de geïnstalleerde applicaties. Momenteel worden alleen de applicaties uit de Play store gescand.
Met de nieuwe malware scanner zouden dit soort applicaties dus wel opgemerkt moeten worden.
Ik vraag me alleen af hoe scherp deze scanner is. Als de 'foute' app maar 1 of 2 van deze betaalde smsjes verstuurd, hoeft de scanner niet meteen te denken dat het om een 'foute' app gaat. De keylogger zou wel meteen opgemerkt moeten worden.

Hierbij zie je overigens wel het voordeel van iOS, in deze apps kunnen geen keyloggers zitten, tenzij de telefoon is gejailbreakt. Android is mooi en open, en dat heeft dus ook zijn nadelen.
Tjah, de gebruiker heeft waarschijnlijk toch toegang gegeven tot de mogelijkheid dat de app sms'jes verstuurd. Ik neem aan dat anders die api niet aangesproken kan worden.

Ik denk dan ook niet dat die anti-malware iets zou doen hiertegen...
Hier draait het dus volledig om, maar er kijken zo weinig mensen naar.

Als je op Android een app gaat installeren dan laat hij zien van welke componenten hij gebruik gaat maken. Als daar dus bij staat je contacten + sms functie...dan moet je toch wel een belletje gaan rinkelen.

Wat betreft het keylog gedeelte...die vraagt dus ook toestemming om je toetsenbord (of iets in die richting in ieder geval :) )

[Reactie gewijzigd door trix0r op 19 oktober 2012 11:35]

Dacht die 20-jarige dader dan echt dat hij niet gepakt zou worden? Zo van, ik pak lekker een paar honderdduizend euro en niemand gaat klagen en kijken naar wie mijn geld nu is verdwenen? Dom.
Dacht die 20-jarige dader dan echt dat hij niet gepakt zou worden? Zo van, ik pak lekker een paar honderdduizend euro en niemand gaat klagen en kijken naar wie mijn geld nu is verdwenen? Dom.
Er zijn anders genoeg mensen met miljoenen weggekomen door transacties af te ronden achter de komma? 1/10e cent is niet veel, maar als je dat op alle transacties van een bank doet, heb je miljoenen in no time en is het tijd om richting de kaaiman eil. oid te verhuizen :+
Maar een dure SMS-dienst dat merk je heel snel aan je telefoonrekening, als er ergens iemand 1/10e cent steelt dan zie je dat niet zo snel.

Wat ik bedoel is dat de dader toch wel in de gaten moet hebben gehad dat op deze manier stelen niet zo heel onopvallend is dat mensen er niet achteraan gaan.
Als die ene SMS uit je bundel komt die dan een fractie sneller op is merk je niet. Zeker niet als je zoals velen een veel te grote bundel hebt gekozen om het dure toestel er maar "gratis" erbij te kunnen krijgen.
De eerste bundel waaruit je premium SMS mag versturen moet nog uitgevonden worden volgens mij.
Op SMS-jes uit de bundel zal de boosdoener geen stuiver verdienen!
Ah ja in Office Space maken ze van de truc gebruik :-)
Waarschijnlijk dacht het ventje van 20, hey leuk ff een appje schrijven om wat geld binnen te harken misschien een paar tientjes, eurotje of 100 als ik geluk heb.

Om vervolgens met een half miljoen op je bankrekening te staan
We leren onze kids al vanaf de geboorte om succesvol te willen en moeten zijn. Het hele educatie stelsel is er op gericht van mensen consumenten te maken en vooral afgerekend te worden op prestaties. Hoe beter je prestaties, hoe beter je carrière en hoe meer je kunt verdienen. En die verdiensten worden omgezet in goederen. Het doel is rijkdom en goederen. Daarvoor wordt je opgeleid en getraind.

Een 20-jarige heeft al zeker 15 jaar geleerd rijkdom na te streven. Het is dan ook helemaal niet raar dat sommige mensen gevoeliger blijken voor die indoctrinatie en voorbij het punt raken waar je morele compas je nog normaliter weerhoud van criminaliteit en anderen benadelen met je gedrag.

Het grote geld lokt en als wij kids leren dat scholing, training er voor is om in steeds rijkere echelons van het leven op aarde te komen dan gaat het gegarandeerd soms al mis op vroege leeftijd.

We vertellen kids dat we er alles aan moeten doen om te presteren maar we vertellen ze niet genoeg dat dat wel op een eerlijke manier dient te gebeuren. Het is de hypocrisie van ouders, leraren en de manier waarop onze samenleving werkt dat kids de boodschap meekrijgen dat bijna alles geoorloofd is in de rat race naar de top. Kids zijn niet gek, ze zien de hypocrisie heus wel.
Daar zit wat in... sommige mensen willen ff snel via de ilegale weg de legale business in. Omdat het eerlijke begin meestal een moeizaam en traag proces is... maar je hoort er weinig over.

Het zal je verassen hoeveel legale (grote) bedrijven met zwart geld zijn opgestart, het is zelfs schrikbarend veel.
Het hele educatie stelsel is er op gericht van mensen consumenten te maken en vooral afgerekend te worden op prestaties.
Het educatie stelsel is er op gericht om je een goed mogelijke *producent* te maken. Voor consumeren heb je geen opleiding nodig.
Sterker nog: hoe hoger de opleiding hoe slechter je als consument wordt. Ik woon in de binnenstad midden in het winkelgebied. Als ik dan weer zie wat er op een zaterdag bepakt met hun nieuwste aankope lang mijn huis komt, dan zijn dat niet de intellectuelen van Nederland (om het vriendelijk uit te drukken).
Filosofie op tweakers.. Het klopt, maar waarom hiér?
Zo zie je maar hoe snel het kan gaan, 1 verkeerde handeling op je toestel wordt er van alles geactiveerd.

Maakt trouwens niet uit of het een smartphone of een computer is elk systeem heeft zijn fouten, hopelijk kan google hiervan leren !
hopelijk kan google hiervan leren !
Ik zie liever de gebruikers wat leren :) Niet alles installeren zonder te lezen ;)
Dit geldt inderdaad natuurlijk óók voor computers of andere systemen.
Op de achtergrond werden echter sms'jes gestuurd naar een duur nummer, dat de Fransman zelf had opgezet.
Wat een geluk dat android 4.2 dan een mechanistme heeft om dat soort zaken tegen te houden / te blokken...
Hopelijk wordt hij goed aangepakt, dit vind ik toch wel de meest zielige vorm van diefstal.
Helemaal om dat het slachtoffer geen kans heeft om de 'dader' aante pakken ;)

Was het half kwijt geraakt in de nieuwe site, maar hier is het artikel:
nieuws: 'Google voorziet Android 4.2 van meer beveiligingsopties'

[Reactie gewijzigd door Brantje op 19 oktober 2012 11:25]

Ja alleen jammer dat er nog maar 1.2% van alle Android toestellen op 4.2 draaien en het leeuwendeel die update nooit zal krijgen.
Ik check ook altijd op dat soort permissies als ik apps installeer. Bij enkele apps accepteer ik de SMS verzenden permissie (whatsapp). maar dan moeten ze wel een goede reden hebben...
Iemand een idee over welke app's dit gaat?
Uit het bron artikel:
It appears smartphones that use Google software were the most susceptible, says the BBC's Christian Fraser in Paris.
Most susceptible suggereert dat andere software, hoewel in mindere mate, ook vatbaar waren/zijn.
Wellicht dat een ge-jailbreakte iPhone of WP-toestel ook vastbaar zijn.

Voor mensen die op dergelijke links klikken is een geroot toestel veel te gevaarlijk.
En maar zeuren over de lange review/screening proces van de Apple App-store: gelukkig maar dat ze dat doen; op een Android telefoon weet je nou nooit ècht of een app veilig is of niet.
Op een Android telefoon weet je nou nooit ècht of een app veilig is of niet.
Jawel hoor, als je leest weet je het, deze app vraagt dan ook heel netjes om SMS-rechten :P

Maargoed bij Google weet je iig wel dat als je een jaar aan een app hebt gewerkt dat ze hem niet gaan blokkeren omdat ze toevallig dezelfde funcites aanbieden als al in het OS zitten :) Alles heeft zo ze voor en tegens he, mooi juist dat je kan kiezen tussen 'eigen risico' en 'risico op de maker af schuiven' :)

[Reactie gewijzigd door watercoolertje op 19 oktober 2012 13:32]

Wat precies de reden is waarom Android niet voor de "gewone" consument, de "niet-it'er" is. Hoe vaak ik een client heb gehad die een foutmelding niet leest en gewoon op ja klikt, terwijl er in hoofdletters stond dat als je op ja klikt al je bestanden verloren gaan, om maar een voorbeeld te noemen.

Als een niet-it'er een app wilt installeren, drukt 'ie overal ja tot het op zijn scherm staat hoor.
Dit heeft niets met ITer te maken maar met luie mensen.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True