Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 132, views: 37.957 •

Een ontwikkelaar heeft laten zien hoe de applicatie Swiftkey in een keylogger is om te zetten. De Android-app is een van de populairste third party-toetsenborden voor Googles mobiele OS, zodat gebruikers die onofficiŽle versies van de software draaien, risico lopen.

Een ontwikkelaar op het Ierse blog Android App Development publiceerde de methode. Op het blog wordt code getoond die in het installatiebestand van Swiftkey moet worden verstopt. Daarvoor moet eerst het installatiebestand uit elkaar gehaald worden met Apktool. De gemodificeerde Swiftkey-apk kan vervolgens weer worden geïnstalleerd en potentieel worden gebruikt zonder dat de gebruiker merkt dat er een keylogger in zit.

De maker heeft het gemodificeerde apk-bestand gepubliceerd. Via de aangepaste app kunnen gebruikers hun toetsenbordaanslagen online terugvinden. Met het publiceren van de methode wil de ontwikkelaar aantonen hoe gemakkelijk het is om installatiebestanden zo aan te passen dat er malware van wordt gemaakt. Met de methode kunnen bijvoorbeeld persoonlijke gegevens worden gestolen als deze via de keylogger worden opgepikt.

Swiftkey is een van de populairste toetsenbordapplicaties voor het Android-besturingssysteem. Omdat de volledige app niet gratis is, wordt veel gebruikgemaakt van gedownloade installatiebestanden voor de app die op piraterijwebsites worden aangeboden. Daarmee lopen gebruikers dus het risico op keyloggers.

Reacties (132)

Reactiefilter:-11320116+192+27+30
Zoals je username en wachtwoord ;)

EssentiŽle en handige dingen als deze betaal ik graag voor, swiftkey is een van de weinige android apps die ik gekocht heb.
Zoals je username en wachtwoord ;)
Wat dat betreft zou er in android een standaard 'secure' keyboard moeten zitten die niet door keyboard-apps of andere apps onderschept kan worden. Ik bedoel, d'r zijn waarschijnlijk honderden keyboard-apps in de Play Store, wie weet welke wel of niet veilig zijn.
Een van die keyboard-apps is lastpass, die automatisch je wachtwoorden 'intypt' in allerlei applicaties. Moeten ze die ook verbieden?
Kan LastPass automatisch invullen in allerlei applicaties? Hoe? Ik zit nu telkens alles te copy pasten..
Ja dat kan, dan moet je tijdens het intikken het keyboard wijzigen in Lastpass.

Een uitkomst zou zijn als er een plugin voor Swiftkey zou kunnen komen.
Wie heeft het over verbieden ?

Wat men laat zien is hoe eenvoudig het is malware in apps aan te brengen.
Wacht maar eens tot je bankrekening leeg is, je mailaccount misbruikt of misbruik gemaakt is van andere gegevens die men zo gekregen heeft.
Dat zit er ook in, het standaard toetsenbord. Elk ander toetsenbord moet je zelf aanzetten en je krijgt de melding dat ze je keys kunnen loggen.
Bij bv Samsung heb je een Samsung en een Swype toetsenbord. Andere merken zullen ook wel 1-2 toetsenborden standaard op de telefoon of tablet hebben staan. De hack in dit artikel is alleen mogelijk buiten de Market Play Store om, omdat een installatiebestand wordt verbouwd.

Dus je roep om een secure toetsenbord is niet echt nuttig. Als men gewoon betaalt voor de app, is er niets aan de hand. Tevens waarschuwt je telefoon ook bij gebruik van een toetsenbord (alsof je soms keuze hebt :P)
Als men gewoon betaalt voor de app, is er niets aan de hand
Ik vind het een beetje gevaarlijk om te zeggen dat de apps die je uit de Play Store haalt, automatisch in orde zijn.

Het lijkt me toch niet onwaarschijnlijk dat ook hier een keylogger in kan sluipen? Of wordt de broncode van elke app in de Play Store grondig gecontroleerd? App makers kunnen ook bijbedoelingen hebben :P
Natuurlijk kan dat. De controle op de apps uit de Play store is maar minimaal, als Łberhaupt aanwezig. Ook Apple controleert vooral of je icoontjes e.d. wel goed zijn en zal nauwelijks naar de interne code kijken. Dit is al aangetoond doordat er al verscheidene malen apps door de controle heen gegaan zijn die dan later verwijderd werden...
De maker heeft het gemodificeerde apk-bestand gepubliceerd.
En dan ben je dus geen goede hacker. Je hoeft het de script kiddies ook weer niet zo makkelijk te maken...
De gemodificeerde Swiftkey-apk kan vervolgens weer worden geÔnstalleerd en potentieel worden gebruikt zonder dat de gebruiker merkt dat er een keylogger in zit.
Tja, als je eenmaal toegang hebt tot het toestel en daar vrijelijk APK's op kunt installeren dan heb je weer geen Swiftkeys nodig.... Je kunt dan elke keylogger gebruiken en daar zijn er vast al een hele hoop van... Klinkt een beetje als een storm in een glas water als je het mij vraagt.
Je hoeft dus als hacker helemaal geen toegang tot een telefoon te hebben. Het enige wat je hoeft te doen is je aangepaste Swiftkey installatie APK's als torrent o.i.d. te verspreiden.

De onwetende leacher doet vervolgens de rest...

Zou me niks verbazen als 'warez' de #1 methode is om trojan's e.d. te verspreiden.
In welke mate de broncode van Android apps in de play store gecontroleerd worden weet ik niet. Wat ik wel weet is dat in de Play store het programma Bouncer rondwaart als een soort Google Search Engine Crawler Bot en apps controleert op kwaadaardige software. Hoe ver die controle gaat zou ik niet weten, maar het lijkt me dat die de gemiddelde virusscanner zou moeten kunnen verslaan.
Zucht. Ja dat kan. Net zoals een app in de Apple appstore dat zou kunnen doen (de broncode wordt namelijk neit ingediend, enkel de gecompileerde app) of in de Windows Store.

Maar die kans is immens klein: voor betaalde apps moeten developers zich identificeren (om betaald te kunnen worden) dus zodra er dan iets illegaals gebeurd zoals keyloggen hangen ze. Als je dan ook nog eens bedenkt dat de kans op betrapt worden exponentieel groter wordt bij populaire apps (meer gebruikers = meer kans dat eentje er iets opmerkt) dan kun je eigenlijk wel ERG zeker zijn dat de officiele Wype en swiftkey apks gewoon veilig zijn. Tenslotte is het businessmodel van die bedrijven apps verkopen (swype via OEMs, swiftkey rechtstreeks aan gebruikers), ze zijn dus echt niet geÔnteresseerde in jouw wachtwoorden.
Gelukkig (voor kwaadwillenden), hoef je niet per se via de Playstore om aan appjes te komen.
Alsjeblieft niet, dan krijg je zulke toetsenborden als op de iPhone. Ik ben juist heel blij met Swiftkey. Mensen moeten gewoon leren om te betalen voor hun apps in plaats van ze van de Piratebay of een of andere illegale markt te trekken. Kom op, Swiftkey kost 3,99, bovendien is deze ook buiten de PlayStore te krijgen via Androidpit(zelfs via PayPal) en nog goedkoper ook:
http://www.androidpit.com...uchtype.swiftkey/SwiftKey

Google moet Bouncer perfectioneren om te zorgen dat Google Play clean blijft, niet een lock in introduceren.
Het is natuurlijk met telefoon apps niet anders dan met apps op andere besturingssystemen. Wanneer je programma's van schimmige websites gaat downloaden, vooral gehackte versies dan vraag je natuurlijk om problemen.

Het is dan ook helemaal niet nodig dat er een verbod komt op alternatieve toetsenborden of wat voor app dan ook. Er moet een verbod zijn op het stelen van gegevens van gebruikers. Daarnaast moet een gebruiker niet zo loos zijn malware te sideloaden en dan te denken dat het aan Android ligt.
Er moet ook geen verbod of wat dan ook komen, wat er moet komen is een API waarmee een app kan zeggen "heej, ik ga nu om een wachtwoord vragen", en dat dan het wachtwoord-keyboard verschijnt in plaats van het normale keyboard. Zodat je simpelweg daarvoor een vertrouwd keyboard kan gebruiken zonder dat je gedwongen bent om dat overal voor te gebruiken.

In verband met regelgeving in financiele markten hebben online banking apps bijvoorbeeld vaak een eigen ingebouwd keyboard.
^---

Via Amazon.com zelfs maar §3,- :) ($3,99)

[Reactie gewijzigd door Source90 op 12 maart 2013 19:26]

...zoals het standaard toetsenbord dat voorgeinstalleerd is en niet (zomaar) kan worden gedeinstalleerd, en waarnaar je erg simpel kan overschakelen wanneer je ook typt?

Zucht, als deze FUD over Android. Aan eht tweakers-artikel is niets mis, maar de anti-Android fanaten uit het iKamp zullen dit zonder twijfel nog maar eens aangrijpen om te beweren dat Android niet veilig is. Terwijl dit gewoon eht szoveelste geval is van malware in een gepirateerde app. Dat is niet echt nieuws, en de gewone gebruiker komt er helemaal niet mee in aanraking.

Ook jouw comment is een geval van FUD: je zegt "er zou zoiets moeten zijn!"... maar EXACT wat je noemt bestaat al en is wat wss 85% van alle gebruikers gebruikt als toetsenbord, terwijl dan nog eens 14.99% gewoon een veilig toetsenbord uit de playstore gebruikt (de officiele swiftkey, swype,...).
Een soort cloudversie van Swiftkey.
Handig voor mannen die hun vrouw niet vertrouwen :P. Wordt de keylogger eigenlijk er wel uitgepikt door AV software van bijvoorbeeld Avast?
De maker heeft het gemodificeerde apk-bestand gepubliceerd. Via de aangepaste app kunnen gebruikers hun toetsenbordaanslagen online terugvinden.
Dus SwiftKey moet online toegang vragen als permissie. Altijd riskant wanneer een applicatie dit doet wanneer dit niet nodig is voor de functionele (vanuit het perspectief van de gebruiker) werking van de applicatie.

Hierom herhaal ik wat ik wel eens eerder heb geschreven: Android heeft af fabriek permissiebeheer nodig zoals LBE dat bijvoorbeeld kan leveren. Niet voor het belang van Google, maar wel in het belang van de gebruiker. Welke ontwikkelaar durft zich te wagen aan het uitbrengen van een "Cyanogenmod+" (of iets dergelijks) met dit ingebouwd?

[Reactie gewijzigd door The Zep Man op 12 maart 2013 14:36]

Behalve dat SwiftKey het ook zal vragen omdat het wilt verifieren dat het legaal is gekocht, dus dat maakt het allemaal een beetje lastiger om zomaar op te komen... zelfs voor ons als tweakers.
Behalve dat SwiftKey het ook zal vragen omdat het wilt verifieren dat het legaal is gekocht, dus dat maakt het allemaal een beetje lastiger om zomaar op te komen... zelfs voor ons als tweakers.
Dat is het probleem van (het business model van) SwiftKey, niet van de gebruiker. Google's Play Store heeft een vorm van DRM waar ze gebruik van kunnen maken. Dan heeft de applicatie zelf geen netwerkpermissie nodig.

Welke weg je ook bewandeld, als je applicatie populair is dan zal het illegaal gebruikt worden. Maak niet je betalende klanten daarvan de dupe.

[Reactie gewijzigd door The Zep Man op 12 maart 2013 14:35]

Verder kan swiftkey ook updates voor een bepaalde taal downloaden, daarvoor heeft het ook internettoegang nodig natuurlijk.

Verder vind ik dit niet echt nieuws. Als je de gebruiker kan overtuigen om buiten de appstore om jouw apk te installeren dan is het niet zo moeilijk meer om voor een virus te zorgen.
Verder kan swiftkey ook updates voor een bepaalde taal downloaden, daarvoor heeft het ook internettoegang nodig natuurlijk.
Is dat niet als app-update uit te rollen? Een ingebouwd updatesysteem klinkt mij een beetje als het wiel opnieuw uitvinden.
Nope, dit werkt veel makkelijker. Als je Swiftkey gebruikt krijg je een bericht als er een geupdate taalbestand beschikbaar is. De hele app opnieuw moeten downloaden is onlogischer.

Edit:
Overigens download je voor zover ik weet niet meer de hele app, maar alleen wijzigingen. Maar in principe vind ik Swiftkey zoals het is prima functioneren. Zeker in het kader van deze discussie, het is niet mogelijk om de APK van Swiftkey zonder tussenkomst van de gebruiker te vervangen. Deze discussie gaat alleen om het downloaden van Swiftkey uit een illegale bron, dan vraag je er imho ook zelf om.

[Reactie gewijzigd door reemprive op 12 maart 2013 16:40]

Verder kan swiftkey ook updates voor een bepaalde taal downloaden, daarvoor heeft het ook internettoegang nodig natuurlijk.
Je kan uitbreidingen op applicaties ook aanbieden via de Play Store. Ook hiervoor hebben applicaties zelf geen toegang nodig tot het Internet. Praktijkvoorbeeld zijn bepaalde media players die losse libraries aanbieden voor verschillende platformen om hardwarematig films af te kunnen spelen.

[Reactie gewijzigd door The Zep Man op 12 maart 2013 15:01]

Betalende klanten worden niet de dupe. Als je het artikel goed had gelezen had je kunnen zien dat het gaat om een custom versie van de APK waar dit 'virus' in zit die je niet zomaar op je telefoon krijgt of kunt krijgen.

Als jij hem netjes via de store koopt ben je op geen enkele mogelijkheid kwetsbaar hiervoor. Als je hem download van een shady pagina om zo de betaling te ontlopen verdien je in mijn ogen ook niet beter.
Als jij hem netjes via de store koopt ben je op geen enkele mogelijkheid kwetsbaar hiervoor.
Nou, dat is nog maar de vraag, want ook daar zijn beveiligingsmensen niet al te enthousiast over:

http://www.nu.nl/internet...iewinkel-google-play.html
Ehm, je hebt door dat dat artikel gaat om shady applicaties in de play store en niet om gewoon normale applicaties zoals swiftkey? Het enige waar sommige 'experts' ( 8)7 ) niet enthousiast over zijn is dat google zoveel vrijheid geeft en dus ook een flinke hoeveel verantwoordelijkheid bij de eindgebruiker. Maja, liever dat dan een gesloten systeem waar voor mij veel zaken worden besloten. Dat is hetzelfde idee als dat op iedere hoek CCTV's neerzetten absoluut zonder twijfel veiliger is, maar niettemin niet gewenst is. (Licht kromme vergelijking, want als google daadwerkelijk malware of copyright diefstal tegen gaat is daar niks mis mee, maar gesloten app stores can veel verder dan dat)
Sorie hoor maar een app in een store is een app in de store, het zijn er vrij veel. Maar op deze manier kunnen we natuurlijk alles bagatelliseren. Even een opsomming:

1) Het is schijnbaar altijd de fout van de gebruiker.
2) Ja maar dat is nu het voordeel van open zijn.
3) Ja maar dat zijn shady applicaties
4) Ja maar dan moet je maar niet uit andere stores halen
5) Ja maar je kijkt toch naar de reviews en zolang dat er niet 500 zijn dan moet je het niet doen (geen idee hoe een app dan ooit populair moet raken als niemand het haalt met die stelregel).
6) Ja maar je hebt toch wel een virus scanner / malware scanner op je telefoon staan.
7) Ja maar bij die andere partij gaat het ook wel eens fout
8) Ja als je de statistieken of metingen op deze manier bekijkt dan valt het wel mee.
9) Ja maar die onderzoeker / expert hecht ik geen waarde aan.
10) Die anti-virus bedrijven doen het alleen maar voor hun eigen gewin, ze willen gewoon meer verkopen.

En zo heb ik er nog veel meer de laatste tijd gelezen. Feit blijft:

1) Er is malware voor Android zowel binnen de store als buiten de store.
2) Er zijn virussen voor Android zowel binnen de store als buiten de store.

En punt 1 t/m 10 veranderd daar niets aan, en het is en blijft een risico voor gebruikers. We zijn niet allemaal experts op het gebied, we zijn geen wandelende virus / malware detectors en ja iedereen kan hier te maken mee krijgen.

En het geval is, Google moet hier gewoon iets mee doen en dit probleem oplossen. Dit hoeft niet te leiden tot een gesloten marktplaats of het weigeren van allerlei apps. Maar gewoon eens een fatsoenlijke controle vooraf uitvoeren voordat je iets in je store zet. Dat gebeurt gewoon nog steeds niet ondanks die beloften van Google.
Er zijn virussen/malware voor ieder platform en OS. Je opmerkingen gelden in het algemeen. Dit is geen zwakte van google op de playstore, maar een consequentie van de aard software in combinatie met het geven van keuzes aan de eindgebruiker.

Google kan niet waterdicht controleren of een app malware of virussen bevat. Niet eens in theorie. Iedere softwaredeveloper zal je dit kunnen bevestigen.

Virusscanners zullen ook nooit 100% zijn, op geen enkel platform. Iedere anti-virusschrijver zal je dat ook kunnen bevestigen.

Ja, ze kunnen (in theorie) wel heel ver komen. Maar denken dat je 100% veilig bent en zomaar kan doen en laten wat je wilt is erg kortzichtig. Dit is iets wat gebruikers met de instelling "ze moeten er maar iets mee doen" zich ontzettend snel moeten gaan realiseren!

Gezond verstand gebruiken is en blijft nog altijd de beste verdediging. Gezond verstand zegt bijvoorbeeld dat als je een keyboard (waar je wachtwoorden mee invoert!) via torrents binnenhaalt dat je dan vraagt om problemen.
Google kan niet waterdicht controleren of een app malware of virussen bevat.
Hier doe jij nu weer hetzelfde, nee dat kunnen ze inderdaad niet. Maar ik krijg nu ook niet de indruk dat ze het ook maar proberen. Ze roepen allerlei technieken die ze toegepast hebben maar erg vruchtbaar is het niet.

Als 95% van de malware / virussen op het Android platform voorkomt dan werkt dat bij mij de indruk dat ze het proberen tegen te houden met een vergiet.
Virusscanners zullen ook nooit 100% zijn, op geen enkel platform
Nee inderdaad, maar hier trek ik twee conclusies uit. Ten eerste is van de mobiele platformen Android de enige waar dit soort producten floreert. Waarom? niet omdat er zo weinig virussen / malware zijn. Windows Phone en iOS hebben beide (van die laatste weet ik het zeker) geen virus scanners of malware detectie software. Waarom toch? mischien omdat ze het bij de poort beter tegen proberen te houden en hun systemen en methoden zo maken dat het ook geen noodzaak betreft.

Tuurlijk, je mist hierdoor alternatieve stores, maar zijn die dan ook echt nodig bij Android? want voor zover ik weet mag je in principe alles in de Play Store zetten. Vanwaar dan die andere stores en de mogelijkheid daartoe? Wat bieden die voor voordeel wat de Play Store niet kan bieden? Ik kan zelf maar aan ŤŤn richting denken...
Ja, ze kunnen (in theorie) wel heel ver komen. Maar denken dat je 100% veilig bent en zomaar kan doen en laten wat je wilt is erg kortzichtig. Dit is iets wat gebruikers met de instelling "ze moeten er maar iets mee doen" zich ontzettend snel moeten gaan realiseren!
Ja in theorie en in de praktijk kunnen ze heel ver komen, tuurlijk geen 100% maar wel meer dan ik gok, de 5% die ze nu halen. En daarnaast, mischien is het ook een signaal van de gebruikers dat Google hier iets mee moet gaan doen. Als mensen / bedrijven klagen moet je die klachten serieus nemen en behandelen en een oplossing voor verzinnen / maken. Niet denken, goh, die gebruikers moeten maar beter opletten. Dat heet klant vriendelijkheid en service gerichtheid.
Gezond verstand gebruiken is en blijft nog altijd de beste verdediging. Gezond verstand zegt bijvoorbeeld dat als je een keyboard (waar je wachtwoorden mee invoert!) via torrents binnenhaalt dat je dan vraagt om problemen.
Gezond verstand is altijd belangrijk, maar zoals ik al aangaf. Niet iedereen is een wandelende virus detectie / malware detectie apparaat. Als iets in de Play Store staat dan ga ik er vanuit dat dat zuiver en correct is. Want het wordt verkocht door Google!. Als zij geen garanties kunnen leveren over hun producten en wederverkopen hadden ze geen store moeten starten.

Jij gaat er bij elke winkel vanuit dat dat wat ze verkopen goed werkt en zuiver materiaal is. Zeker bij partijen als Google, Apple, Microsoft, Amazone, Bol.com, etc... Dat zijn geen kleine partijtjes.

[Reactie gewijzigd door ronaldmathies op 12 maart 2013 20:24]

Ten eerste is van de mobiele platformen Android de enige waar dit soort producten floreert. Waarom?
Ow ja, de permanente roze bril van de apple liefhebber. Verklaart waarschijnlijk waarom apple trojans tegenwoordig in trek zijn, de slachtoffers zijn gewoon constant in denial :p

http://news.cnet.com/8301...favorite-malware-victims/ :>

[Reactie gewijzigd door boe2 op 12 maart 2013 21:11]

Jammer van je voorbeeld want daar wordt nogmaals aangegeven dat juist Android en Windows de probleem gevallen zijn en iOS nogsteeds goed presteerd. OSX gaat het juist iets slechter mee.
"During the past few quarters, we've seen that the Android OS is the most popular target for writers of mobile malware," McAfee's report said. "This quarter was no different; practically all new mobile malware was directed at the Android platform. The mix included SMS-sending malware, mobile botnets, spyware, and destructive Trojans."
Ik zeg toch nergens dat het bij Apple allemaal koek en ei is. Maar zij proberen het tenminste en niet met onverdientelijk resultaat. Ze hebben bijna het kleinste percentage malware / virussen van alle mobiele os'en ( alleen Windows Phone heeft er nog minder wat opzich niet raar is gezien hoe oud het is) en redelijk dezelfde setup heeft.

Waar het mij om gaat is dat iedereen het schijnbaar normaal vind dat dit gebeurt, en dat iedereen er maar mee moet leren omgaan.

Daar ben ik het dus pertinent niet mee eens, er is geen reden voor en het valt niet goed te praten. Het is gewoon je prioriteiten goed hebben.

Het gaat er niet om wat anderen doen, je wilt toch dat je eigen product ( Android ) een success word? En daar valt fatsoenlijke bescherming van je gebruikers ook onder.

[Reactie gewijzigd door ronaldmathies op 12 maart 2013 22:36]

Dat is het probleem van (het business model van) SwiftKey
Niet alleen. Het is ook een probleem met het permissie model van Android. Je moet een app altijd wel of niet toegang geven tot 'het netwerk'. Zelfde voor SD, contacten e.d. Het is altijd alles of niets.

Ik wil kunnen zeggen dat een app toegang krijgt tot ťťn mapje op de SD. Tot een bepaalde groep gebruikers en tot een bepaald domein op het netwerk.

Als de Swiftkey app ineens toestemming vraagt zoals dit:
Deze applicatie wil permissie voor:
  • Netwerktoegang voor domein swiftkey.com
  • Netwerktoegang voor domein hacked.org
In plaats van
Deze applicatie wil permissie voor:
  • Netwerktoegang voor domein swiftkey.com
dan heb je als gebruiker al weer wat meer kans om het verschil te zien.

Zelf installeer ik vrijwel nooit apps, want ze willen allemaal netwerktoegang en dat geef ik ze gewoon niet. Mij te link. Maar als Android dit per domein zou kunnen uitsplitsen zou ik al weer wat meer vertrouwen hebben.

EDIT: Extra lijst item weggehaald die door bug in lijst knopje was toegevoegd

[Reactie gewijzigd door OddesE op 12 maart 2013 16:41]

Dat zou netjes zijn, maar is tegelijkertijd ook een schijnveiligheid. Swiftkey kan door een andere hack al lang via een gehackte proxy verlopen. Dat kan zelfs helemaal buiten je android-device om zijn geregeld.

Een "Netwerktoegang voor domein hacked.org"-melding is natuurlijk veelzeggend. Maar enkel "Netwerktoegang voor domein swiftkey.com" wil niet altijd zeggen dat het wel veilig is.
Voor mij super handig; ik heb meerdere devices met allemaal een aangepast toetsenbord. Sterker nog; ik wou dat ze het allemaal hadden, net zoals Swype Beta!
MIUI heeft al sinds jaar en dag een permission manager (namelijk LBE) ingebouwd.
LBE reguleert SU (superuser) toegang, dat staat los van de permissies die apps krijgen.
Dit is onjuist. Met LBE kun je apps wel of geen toegang geven tot:

- Netwerk
- Het versturen van SMS
- Het uitlezen van SMS
- Het uitlezen van de contacten
- Belgeschiedenis uitlezen
- Positionering (uitgesplitst in GPS en grof)
- Toestelid
- Oproepen maken
- Toestelstatus uitlezen (scherm aan of uit)
- Inkomende en uitgaande oproepen monitoren

LBE heeft SU wel nodig om te kunnen werken, aangezien het root nodig heeft om deze taken te kunnen uitvoeren.
Dit kon al vanaf dag 1 bij Android, het is juist zo opgezet dat die vrijheid er is (en vrijheid werkt nou eenmaal 2 kanten op). Dit kon elke beetje programmeur in 10 minuten aantonen...

Je moet overigens wel zelf handmatig dat keyboard installen, en de waarschuwing dat er in externe keyboards een mogelijkheid zit dat er loggers in zitten accepteren :P Buiten dat je eerder al hebt moeten accepteren dat je een keyboard installeerd met internet rechten...

Tja ik zie het gevaar niet, maar misschien omdat ik gewoon lees en daardoor weet wat ik doe...

[Reactie gewijzigd door watercoolertje op 12 maart 2013 14:34]

En jij hebt dat keyboard dus op die manier geÔnstalleerd?
Het probleem is natuurlijk dat vrijwel niemand dat gevaar ziet.

[Reactie gewijzigd door SoloH op 12 maart 2013 15:02]

En jij hebt dat keyboard dus op die manier geÔnstalleerd?
Het probleem is natuurlijk dat vrijwel niemand dat gevaar ziet.
Er is geen andere weg, maar nee ik heb dat keyboard niet, en hoef het ook niet...

Was trouwens NOG een check/waarschuwing vergeten, als je voor de eerste keer een app buiten de market wilt installeren moet je op dat moment een waarschuwing hebben gehad dat apps buiten de market NIET te vertrouwen zijn en dus malware/keyloggers kan bevatten :)
Dit kon al vanaf dag 1 bij Android, het is juist zo opgezet dat die vrijheid er is (en vrijheid werkt nou eenmaal 2 kanten op). Dit kon elke beetje programmeur in 10 minuten aantonen...

Je moet overigens wel zelf handmatig dat keyboard installen, en de waarschuwing dat er in externe keyboards een mogelijkheid zit dat er loggers in zitten accepteren :P Buiten dat je eerder al hebt moeten accepteren dat je een keyboard installeerd met internet rechten...

Tja ik zie het gevaar niet, maar misschien omdat ik gewoon lees en daardoor weet wat ik doe...
Klopt. Daarbij vraag ik me af hoeveel downloads dergeljike gemodificeerde apk's hebben. Ik weer dat de officiele SwiftKey app waarschijnlijk minimaal een miljoen downloads heeft. Als er vervolgens 1200 of iets dergelijks staat dan weet ik genoeg. En dan moet zo'n app ook nog in de Play Store terecht komen.
Als je via de Play Store download dan is er niets aan de hand. Maar dat kost een paar centen, dus halen veel mensen ze ergens van internet vandaan. Daar kan je de bron niet goed controleren en dan loop je dus risico op een gemodificeerde apk
En wat te denken van alle ROMs !! Een dergelijke verbouwing zou eenvoudig in een custom ROM gedaan kunnen worden.
En wat met al die linux distros? ;)

Zoals altijd: common sense gebruiken.
Ofwel; weer een 'security' issue wanneer mensen niet bereid zijn te betalen voor een applicatie. (uitgezonderd mensen zonder Google Play toegang)

Een stukje non-nieuws aangezien je eerst 'onbekende bronnen' aan moet zetten, waarna je ook nog eens bij het inschakelen van het toetsenbord een melding krijgt 'deze software kan je toetsaanslagen (dus ook wachtwoorden) lezen'.

Hier haal ik mijn schouders dus voor op..

edit: het wordt tijd dat we de nieuwsberichten kunnen downmodden 8)7

[Reactie gewijzigd door TheNymf op 12 maart 2013 14:59]

Vergeet niet dat er ook om internetverbinding wordt gevraagd!
Ik wŪl internet bij mijn toetsenbord (Swype, Swiftkey) omdat ik mijn dictionaries wil syncen!
Swiftkey kan leren van je facebook/twitter/email/rss feeds. Dat is een enorm voordeel voor je woordvoorspelling.
Ik ben het totaal met je eens, conclusie van dit verhaal: Als je een gekraakt bestand download waarvan je niet zeker weet dat het van de officiele maker is kan het onveilig zijn.. Tell me something I didnt know. Ik heb de gekochte versie van Swiftkey en hoef me dus totaal geen zorgen te maken.

Zowieso is het beveiligingsprobleem van android totaal overdreven naar mijn mening. Als je via de play store download, reviews leest voor je iets download en de permissions even checkt is de kans of malware/trojans vrijwel uitgesloten. Dit zijn dingen die ik voor de pc al doe dus waarom niet ook voor android.

Jammer van de sensationele titel van dit artikel, hopelijk zet tweakers deze trend niet door.
Als je via de play store download, reviews leest voor je iets download en de permissions even checkt is de kans of malware/trojans vrijwel uitgesloten.
Is dat zo?
Almost 69,000 of those were sourced directly from Google Play, which offers around 700,000 apps in total, he said. "It's not just Chinese and Russian app stores.
(...)
In addition to apps that pose security and privacy risks, there are many apps that are undesirable for other reasons. For example, 32 percent of the analyzed apps had poor battery usage, 24 percent had poor network usage and 28 percent had poor memory usage.
http://www.networkworld.c...re-problem-is-267526.html

Dat laatste is natuurlijk ook een factor van belang, alleen niet voor beveiliging.
Ja, dat is zo. Jouw bron spreekt dit ook niet tegen.
Als je met een beetje common-sense naar een play-store app kijkt kan je wel beoordelen of deze legitiem is of niet. Een spel dat sms-berichten wil versturen klopt natuurlijk niet, en een toetsenbord die telefoongesprekken wil starten klinkt ook niet waarschijnlijk.
En als een app een rating van 1 ster heeft met 150 installs ben ik niet nummer 151 met de gedachte: "Ach, bij mij gaat het vast beter".
Laat ik een voorbeeldje noemen. Mijn dochtertje download letterlijk bergen apps op mijn Nexus 7, waarbij ik vaak achteraf zelf check wat goed is en wat niet. Mijn anti malware app(Avast) heeft nog nooit een melding gegeven dat een app malware bevat. Avast staat in de top 3 van malware detectie programma's qua detectiegraad. Als werkelijk 10 procent geÔnfecteerd zou zijn dan zou ik wekelijks meldingen moeten krijgen.

Het kan 2 kanten op:
- De anti malware apps werken niet, wat sterk lijkt gezien tests uitwijzen dat ze wel degelijk malware detecteren
- De anti malware boeren overdrijven het schromelijk om hun producten te kunnen slijten.
Die trend moet Tweakers dus vooral wel doorzetten. Maar ja, de meeste mensen snappen de veiligheidsrisicos niet, misschien helpt dit soort berichtgeving.
Dat is het risico als het van random blogsites, etc wordt getrokken. Ik ken een aantal mensen die zo aan hun apps komen.
Als een APK gemodificeerd is, moet de optie "apps van onbekende ontwikkelaars toestaan" aanstaan. Maar er zal ongetwijfeld een manier zijn om dat allemaal het zelfde te houden zodat die apps niet tegen gehouden worden, ook al staat die optie uit.
Precies hetzelfde kan dus gebeuren als je een Custom ROM bij XDA vandaan haalt en de ontwikkelaar heeft een keylogger in het toetsenbord proces gestopt.
Maar makkelijk te omzeilen, mocht dat gebeuren, door gewoon een toetsenbord uit de Play Store te trekken. Ik heb gewoon Swiftkey X gekocht, dus ook die custom ROM maker gaat bij mij niet veel gegevens stelen. Swiftkey X is in mijn mening toch de beste, en dat het mogelijk misbruik van de keyboard app door custom ROM bouwers voorkomt is alleen maar extra mooi meegenomen.
Als jij een malafide custom ROM zou installeren maakt het niet meer uit wat voor maatregelen jij treft.
Dat is wel een kwalijke zaak. Hiermee wordt overigens mijn 'angst' van meer dan een jaar terug mee bevestigd. Het speelde al een lange tijd in me hoofd dat keyloggen toegepast zou kunnen worden binnen android.

Ik hoop dat gebruikers dit overigens mee krijgen en gewoon netjes ervoor betalen als ze er gebruik van willen maken.

Overigens vind ik het ook een goeie zet van de ontwikkelaar om het te publiceren en daarmee toch (waarschijnlijk niet de juiste) een groot groep mensen bewust maakt.
Let wel op dat een standaard gebruiker dit niet voor elkaar krijgt. Je moet de APK op je telefoon zetten, de check bij "apps van onbekende ontwikkelaars" aanzetten, de warschuwing hiervan accepteren, de APK inladen, de waarschuwing accepteren en dan de permissies accepteren..

Als een keyboard internet nodig heeft is er wat mis...
Swiftkey heeft standaard internettoegang om bijvoorbeeld dictionaries te downloaden en eerder getypte tekst van Facebook/Gmail af te halen. Het toetsenbord zelf heeft natuurlijk geen internet nodig, extra functionaliteit daaromheen wel.

[Reactie gewijzigd door Quipeace op 14 maart 2013 11:41]

Spyware is echter niet enkel voorbehouden aan "piraten", ook genoeg commerciele bedrijven die met "goedgekeurde" apps meer data van je opslaan dan nodig of gewenst.
Er is gewoon behoefte aan een goede firewall op OS niveau, per app (gekocht of illegaal) moet kunnen worden bepaald wat er met je gegevens gebeurt, nu is het een black-box.

[Reactie gewijzigd door CyBeRSPiN op 12 maart 2013 14:36]

Spyware is echter niet enkel voorbehouden aan "piraten", ook genoeg commerciele bedrijven die met "goedgekeurde" apps meer data van je opslaan dan nodig of gewenst.
Er is gewoon behoefte aan een goede firewall op OS niveau, per app (gekocht of illegaal) moet kunnen worden bepaald wat er met je gegevens gebeurt, nu is het een black-box.
Bij iOS is het een blackbox. Daar kun je helemaal niets aangeven en krijg je ook niets te zien over wat een app doet. Bij Android wordt je bij installeren verteld wat de app doet, waar hij toegang toe heeft en wat hij er mee doet. Als je dat niet wilt kun je simpelweg "Nee, doe maar niet" zeggen.
Als je dat niet wilt kun je simpelweg "Nee, doe maar niet" zeggen.
Ja, en dan installeert je app niet ipv die betreffende functionaliteit niet te gebruiken, ook een wassen neus en iets waar de gemiddelde gebruiker zo doorheen klikt zonder enig besef van consequenties.
Ook is het niet verfijnd genoeg, ik zou bij
"app wil toegang tot contacten" willen zeggen: "ask every time for permission and show details". Ik wil zien wat die app doet en per keer beslissen of ik die app toegang geef tot een (nieuwe) resource.
[...]

Bij iOS is het een blackbox. Daar kun je helemaal niets aangeven en krijg je ook niets te zien over wat een app doet. Bij Android wordt je bij installeren verteld wat de app doet, waar hij toegang toe heeft en wat hij er mee doet. Als je dat niet wilt kun je simpelweg "Nee, doe maar niet" zeggen.
Inderdaad het kan natuurlijk nog gedetailleerder maar hoe langer het rapport met wat er gebeurd hoe eerder gebruikers het overslaan en al op installeren klikken...

Was laatst nog een onderzoek dan er op iOS meer data werd doorgestuurd dan op Android aan gebruikersdata. Alleen vallen die apps gewoon niet onder spy/adware ookal hebben ze die gegevens helemaal niet altijd nodig :)

http://appleinsider.com/a...-do-android-apps---report
A number of questionable policies and security concerns have painted Google's Android platform as inherently less secure than Apple's iOS. Android does appear to be more vulnerable to malware than iOS, but mobile malware affects only one percent of apps. The larger concern, the study concludes, should be over how mobile apps handle personal information and company data.
[...]

Bij iOS is het een blackbox. Daar kun je helemaal niets aangeven en krijg je ook niets te zien over wat een app doet. Bij Android wordt je bij installeren verteld wat de app doet, waar hij toegang toe heeft en wat hij er mee doet. Als je dat niet wilt kun je simpelweg "Nee, doe maar niet" zeggen.
Permissies laten zien is inderdaad iets wat Apple kan leren van Google, maar om nou te zeggen dat je 'niets' ziet is ook weer niet waar. Als een app op iOS het telefoonboek/foto's/locatie e.d. wil benaderen word hier keurig om toestemming gevraagd welke je kan in of uitschakelen...

Weer iemand die geen tot weinig verstand heeft van iOS maar wel loopt rond te schreeuwen over hoe het (niet helemaal) zogenaamd werkt.
De meeste mensen klikken poppups snel weg zonder het te lezen. Dus dan heeft het geen zin om alles te laten zien. Er van uitgaande dat ze meteen begrijpen waar het ver gaat....
PDroid Privacy Protection, LBE Privacy Guard en Permissions denied zijn allemaal Root apps waarbij je elke permission van een app kan terugroepen. Ik gebruik het vooral om de adds die door men addblocker heen komen te blokken, maar je zou cloudstorage van elke app kunnen opheffen. Ik geef toe dat Root acces niet voor elke gebruiker nodig is, maar als je de moeite neemt om apk's te sideloaden, kun je dit stapje ook wel maken.
Het is wel een gemene, vooral omdat er geen toegang wordt gevraagd die niet nodig is bij de betaalde versie. (internettoegang is ook bij de betaalde versie nodig, er kan worden ingeleerd bij je gmail-account, en je twitter) Hmmm.... dan kan de gehackte versie daar ook mooi bij.

Wat dat betreft is swiftkey de perfecte app om een logger in weg te stoppen, mensen verwachten dat je overal toegang voor moet geven.

Er gaat bij dit soort berichten bij mij altijd een klein vermoeden uit naar de makers van de legale app. Het zou mij namelijk niks verbazen als de verkoop van de betaalde versie flink stijgt na een bericht als deze.
En ik maar denken dat een beetje App, net als een installer in Windows, ge-signed is, met de key van de maker.
Is het ook. Maar je kan elke app repackagen met een eigen handtekening en aanbieden van je eigen website.
Bedankt voor de info.

Maar dan is de moraal dus gewoon "Koop/download geen illegale software."

In mijn oren klinkt het toch allemaal wat minder ernstig dan. Dit is m.i. dan meer zoiets als tegen mensen zeggen dat die 'crack.exe' die ze net gedownload hebben wel eens een trojan/virus zou kunnen bevatten. Lijkt me nogal wiedes, ja.

Op dit item kan niet meer gereageerd worden.