Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 132 reacties, 39.409 views •

Een ontwikkelaar heeft laten zien hoe de applicatie Swiftkey in een keylogger is om te zetten. De Android-app is een van de populairste third party-toetsenborden voor Googles mobiele OS, zodat gebruikers die onofficiŰle versies van de software draaien, risico lopen.

Een ontwikkelaar op het Ierse blog Android App Development publiceerde de methode. Op het blog wordt code getoond die in het installatiebestand van Swiftkey moet worden verstopt. Daarvoor moet eerst het installatiebestand uit elkaar gehaald worden met Apktool. De gemodificeerde Swiftkey-apk kan vervolgens weer worden geïnstalleerd en potentieel worden gebruikt zonder dat de gebruiker merkt dat er een keylogger in zit.

De maker heeft het gemodificeerde apk-bestand gepubliceerd. Via de aangepaste app kunnen gebruikers hun toetsenbordaanslagen online terugvinden. Met het publiceren van de methode wil de ontwikkelaar aantonen hoe gemakkelijk het is om installatiebestanden zo aan te passen dat er malware van wordt gemaakt. Met de methode kunnen bijvoorbeeld persoonlijke gegevens worden gestolen als deze via de keylogger worden opgepikt.

Swiftkey is een van de populairste toetsenbordapplicaties voor het Android-besturingssysteem. Omdat de volledige app niet gratis is, wordt veel gebruikgemaakt van gedownloade installatiebestanden voor de app die op piraterijwebsites worden aangeboden. Daarmee lopen gebruikers dus het risico op keyloggers.

Reacties (132)

Reactiefilter:-11320116+192+27+30
Moderatie-faq Wijzig weergave
Ofwel; weer een 'security' issue wanneer mensen niet bereid zijn te betalen voor een applicatie. (uitgezonderd mensen zonder Google Play toegang)

Een stukje non-nieuws aangezien je eerst 'onbekende bronnen' aan moet zetten, waarna je ook nog eens bij het inschakelen van het toetsenbord een melding krijgt 'deze software kan je toetsaanslagen (dus ook wachtwoorden) lezen'.

Hier haal ik mijn schouders dus voor op..

edit: het wordt tijd dat we de nieuwsberichten kunnen downmodden 8)7

[Reactie gewijzigd door TheNymf op 12 maart 2013 14:59]

Ik ben het totaal met je eens, conclusie van dit verhaal: Als je een gekraakt bestand download waarvan je niet zeker weet dat het van de officiele maker is kan het onveilig zijn.. Tell me something I didnt know. Ik heb de gekochte versie van Swiftkey en hoef me dus totaal geen zorgen te maken.

Zowieso is het beveiligingsprobleem van android totaal overdreven naar mijn mening. Als je via de play store download, reviews leest voor je iets download en de permissions even checkt is de kans of malware/trojans vrijwel uitgesloten. Dit zijn dingen die ik voor de pc al doe dus waarom niet ook voor android.

Jammer van de sensationele titel van dit artikel, hopelijk zet tweakers deze trend niet door.
Als je via de play store download, reviews leest voor je iets download en de permissions even checkt is de kans of malware/trojans vrijwel uitgesloten.
Is dat zo?
Almost 69,000 of those were sourced directly from Google Play, which offers around 700,000 apps in total, he said. "It's not just Chinese and Russian app stores.
(...)
In addition to apps that pose security and privacy risks, there are many apps that are undesirable for other reasons. For example, 32 percent of the analyzed apps had poor battery usage, 24 percent had poor network usage and 28 percent had poor memory usage.
http://www.networkworld.c...re-problem-is-267526.html

Dat laatste is natuurlijk ook een factor van belang, alleen niet voor beveiliging.
Ja, dat is zo. Jouw bron spreekt dit ook niet tegen.
Als je met een beetje common-sense naar een play-store app kijkt kan je wel beoordelen of deze legitiem is of niet. Een spel dat sms-berichten wil versturen klopt natuurlijk niet, en een toetsenbord die telefoongesprekken wil starten klinkt ook niet waarschijnlijk.
En als een app een rating van 1 ster heeft met 150 installs ben ik niet nummer 151 met de gedachte: "Ach, bij mij gaat het vast beter".
Laat ik een voorbeeldje noemen. Mijn dochtertje download letterlijk bergen apps op mijn Nexus 7, waarbij ik vaak achteraf zelf check wat goed is en wat niet. Mijn anti malware app(Avast) heeft nog nooit een melding gegeven dat een app malware bevat. Avast staat in de top 3 van malware detectie programma's qua detectiegraad. Als werkelijk 10 procent ge´nfecteerd zou zijn dan zou ik wekelijks meldingen moeten krijgen.

Het kan 2 kanten op:
- De anti malware apps werken niet, wat sterk lijkt gezien tests uitwijzen dat ze wel degelijk malware detecteren
- De anti malware boeren overdrijven het schromelijk om hun producten te kunnen slijten.
Die trend moet Tweakers dus vooral wel doorzetten. Maar ja, de meeste mensen snappen de veiligheidsrisicos niet, misschien helpt dit soort berichtgeving.
Vergeet niet dat er ook om internetverbinding wordt gevraagd!
Swiftkey kan leren van je facebook/twitter/email/rss feeds. Dat is een enorm voordeel voor je woordvoorspelling.
Ik wÝl internet bij mijn toetsenbord (Swype, Swiftkey) omdat ik mijn dictionaries wil syncen!
Dat is het risico als het van random blogsites, etc wordt getrokken. Ik ken een aantal mensen die zo aan hun apps komen.
Als een APK gemodificeerd is, moet de optie "apps van onbekende ontwikkelaars toestaan" aanstaan. Maar er zal ongetwijfeld een manier zijn om dat allemaal het zelfde te houden zodat die apps niet tegen gehouden worden, ook al staat die optie uit.
Precies hetzelfde kan dus gebeuren als je een Custom ROM bij XDA vandaan haalt en de ontwikkelaar heeft een keylogger in het toetsenbord proces gestopt.
Maar makkelijk te omzeilen, mocht dat gebeuren, door gewoon een toetsenbord uit de Play Store te trekken. Ik heb gewoon Swiftkey X gekocht, dus ook die custom ROM maker gaat bij mij niet veel gegevens stelen. Swiftkey X is in mijn mening toch de beste, en dat het mogelijk misbruik van de keyboard app door custom ROM bouwers voorkomt is alleen maar extra mooi meegenomen.
Als jij een malafide custom ROM zou installeren maakt het niet meer uit wat voor maatregelen jij treft.
De maker heeft het gemodificeerde apk-bestand gepubliceerd. Via de aangepaste app kunnen gebruikers hun toetsenbordaanslagen online terugvinden.
Dus SwiftKey moet online toegang vragen als permissie. Altijd riskant wanneer een applicatie dit doet wanneer dit niet nodig is voor de functionele (vanuit het perspectief van de gebruiker) werking van de applicatie.

Hierom herhaal ik wat ik wel eens eerder heb geschreven: Android heeft af fabriek permissiebeheer nodig zoals LBE dat bijvoorbeeld kan leveren. Niet voor het belang van Google, maar wel in het belang van de gebruiker. Welke ontwikkelaar durft zich te wagen aan het uitbrengen van een "Cyanogenmod+" (of iets dergelijks) met dit ingebouwd?

[Reactie gewijzigd door The Zep Man op 12 maart 2013 14:36]

Behalve dat SwiftKey het ook zal vragen omdat het wilt verifieren dat het legaal is gekocht, dus dat maakt het allemaal een beetje lastiger om zomaar op te komen... zelfs voor ons als tweakers.
Behalve dat SwiftKey het ook zal vragen omdat het wilt verifieren dat het legaal is gekocht, dus dat maakt het allemaal een beetje lastiger om zomaar op te komen... zelfs voor ons als tweakers.
Dat is het probleem van (het business model van) SwiftKey, niet van de gebruiker. Google's Play Store heeft een vorm van DRM waar ze gebruik van kunnen maken. Dan heeft de applicatie zelf geen netwerkpermissie nodig.

Welke weg je ook bewandeld, als je applicatie populair is dan zal het illegaal gebruikt worden. Maak niet je betalende klanten daarvan de dupe.

[Reactie gewijzigd door The Zep Man op 12 maart 2013 14:35]

Betalende klanten worden niet de dupe. Als je het artikel goed had gelezen had je kunnen zien dat het gaat om een custom versie van de APK waar dit 'virus' in zit die je niet zomaar op je telefoon krijgt of kunt krijgen.

Als jij hem netjes via de store koopt ben je op geen enkele mogelijkheid kwetsbaar hiervoor. Als je hem download van een shady pagina om zo de betaling te ontlopen verdien je in mijn ogen ook niet beter.
Als jij hem netjes via de store koopt ben je op geen enkele mogelijkheid kwetsbaar hiervoor.
Nou, dat is nog maar de vraag, want ook daar zijn beveiligingsmensen niet al te enthousiast over:

http://www.nu.nl/internet...iewinkel-google-play.html
Ehm, je hebt door dat dat artikel gaat om shady applicaties in de play store en niet om gewoon normale applicaties zoals swiftkey? Het enige waar sommige 'experts' ( 8)7 ) niet enthousiast over zijn is dat google zoveel vrijheid geeft en dus ook een flinke hoeveel verantwoordelijkheid bij de eindgebruiker. Maja, liever dat dan een gesloten systeem waar voor mij veel zaken worden besloten. Dat is hetzelfde idee als dat op iedere hoek CCTV's neerzetten absoluut zonder twijfel veiliger is, maar niettemin niet gewenst is. (Licht kromme vergelijking, want als google daadwerkelijk malware of copyright diefstal tegen gaat is daar niks mis mee, maar gesloten app stores can veel verder dan dat)
Sorie hoor maar een app in een store is een app in de store, het zijn er vrij veel. Maar op deze manier kunnen we natuurlijk alles bagatelliseren. Even een opsomming:

1) Het is schijnbaar altijd de fout van de gebruiker.
2) Ja maar dat is nu het voordeel van open zijn.
3) Ja maar dat zijn shady applicaties
4) Ja maar dan moet je maar niet uit andere stores halen
5) Ja maar je kijkt toch naar de reviews en zolang dat er niet 500 zijn dan moet je het niet doen (geen idee hoe een app dan ooit populair moet raken als niemand het haalt met die stelregel).
6) Ja maar je hebt toch wel een virus scanner / malware scanner op je telefoon staan.
7) Ja maar bij die andere partij gaat het ook wel eens fout
8) Ja als je de statistieken of metingen op deze manier bekijkt dan valt het wel mee.
9) Ja maar die onderzoeker / expert hecht ik geen waarde aan.
10) Die anti-virus bedrijven doen het alleen maar voor hun eigen gewin, ze willen gewoon meer verkopen.

En zo heb ik er nog veel meer de laatste tijd gelezen. Feit blijft:

1) Er is malware voor Android zowel binnen de store als buiten de store.
2) Er zijn virussen voor Android zowel binnen de store als buiten de store.

En punt 1 t/m 10 veranderd daar niets aan, en het is en blijft een risico voor gebruikers. We zijn niet allemaal experts op het gebied, we zijn geen wandelende virus / malware detectors en ja iedereen kan hier te maken mee krijgen.

En het geval is, Google moet hier gewoon iets mee doen en dit probleem oplossen. Dit hoeft niet te leiden tot een gesloten marktplaats of het weigeren van allerlei apps. Maar gewoon eens een fatsoenlijke controle vooraf uitvoeren voordat je iets in je store zet. Dat gebeurt gewoon nog steeds niet ondanks die beloften van Google.
Er zijn virussen/malware voor ieder platform en OS. Je opmerkingen gelden in het algemeen. Dit is geen zwakte van google op de playstore, maar een consequentie van de aard software in combinatie met het geven van keuzes aan de eindgebruiker.

Google kan niet waterdicht controleren of een app malware of virussen bevat. Niet eens in theorie. Iedere softwaredeveloper zal je dit kunnen bevestigen.

Virusscanners zullen ook nooit 100% zijn, op geen enkel platform. Iedere anti-virusschrijver zal je dat ook kunnen bevestigen.

Ja, ze kunnen (in theorie) wel heel ver komen. Maar denken dat je 100% veilig bent en zomaar kan doen en laten wat je wilt is erg kortzichtig. Dit is iets wat gebruikers met de instelling "ze moeten er maar iets mee doen" zich ontzettend snel moeten gaan realiseren!

Gezond verstand gebruiken is en blijft nog altijd de beste verdediging. Gezond verstand zegt bijvoorbeeld dat als je een keyboard (waar je wachtwoorden mee invoert!) via torrents binnenhaalt dat je dan vraagt om problemen.
Google kan niet waterdicht controleren of een app malware of virussen bevat.
Hier doe jij nu weer hetzelfde, nee dat kunnen ze inderdaad niet. Maar ik krijg nu ook niet de indruk dat ze het ook maar proberen. Ze roepen allerlei technieken die ze toegepast hebben maar erg vruchtbaar is het niet.

Als 95% van de malware / virussen op het Android platform voorkomt dan werkt dat bij mij de indruk dat ze het proberen tegen te houden met een vergiet.
Virusscanners zullen ook nooit 100% zijn, op geen enkel platform
Nee inderdaad, maar hier trek ik twee conclusies uit. Ten eerste is van de mobiele platformen Android de enige waar dit soort producten floreert. Waarom? niet omdat er zo weinig virussen / malware zijn. Windows Phone en iOS hebben beide (van die laatste weet ik het zeker) geen virus scanners of malware detectie software. Waarom toch? mischien omdat ze het bij de poort beter tegen proberen te houden en hun systemen en methoden zo maken dat het ook geen noodzaak betreft.

Tuurlijk, je mist hierdoor alternatieve stores, maar zijn die dan ook echt nodig bij Android? want voor zover ik weet mag je in principe alles in de Play Store zetten. Vanwaar dan die andere stores en de mogelijkheid daartoe? Wat bieden die voor voordeel wat de Play Store niet kan bieden? Ik kan zelf maar aan ŔŔn richting denken...
Ja, ze kunnen (in theorie) wel heel ver komen. Maar denken dat je 100% veilig bent en zomaar kan doen en laten wat je wilt is erg kortzichtig. Dit is iets wat gebruikers met de instelling "ze moeten er maar iets mee doen" zich ontzettend snel moeten gaan realiseren!
Ja in theorie en in de praktijk kunnen ze heel ver komen, tuurlijk geen 100% maar wel meer dan ik gok, de 5% die ze nu halen. En daarnaast, mischien is het ook een signaal van de gebruikers dat Google hier iets mee moet gaan doen. Als mensen / bedrijven klagen moet je die klachten serieus nemen en behandelen en een oplossing voor verzinnen / maken. Niet denken, goh, die gebruikers moeten maar beter opletten. Dat heet klant vriendelijkheid en service gerichtheid.
Gezond verstand gebruiken is en blijft nog altijd de beste verdediging. Gezond verstand zegt bijvoorbeeld dat als je een keyboard (waar je wachtwoorden mee invoert!) via torrents binnenhaalt dat je dan vraagt om problemen.
Gezond verstand is altijd belangrijk, maar zoals ik al aangaf. Niet iedereen is een wandelende virus detectie / malware detectie apparaat. Als iets in de Play Store staat dan ga ik er vanuit dat dat zuiver en correct is. Want het wordt verkocht door Google!. Als zij geen garanties kunnen leveren over hun producten en wederverkopen hadden ze geen store moeten starten.

Jij gaat er bij elke winkel vanuit dat dat wat ze verkopen goed werkt en zuiver materiaal is. Zeker bij partijen als Google, Apple, Microsoft, Amazone, Bol.com, etc... Dat zijn geen kleine partijtjes.

[Reactie gewijzigd door ronaldmathies op 12 maart 2013 20:24]

Ten eerste is van de mobiele platformen Android de enige waar dit soort producten floreert. Waarom?
Ow ja, de permanente roze bril van de apple liefhebber. Verklaart waarschijnlijk waarom apple trojans tegenwoordig in trek zijn, de slachtoffers zijn gewoon constant in denial :p

http://news.cnet.com/8301...favorite-malware-victims/ :>

[Reactie gewijzigd door boe2 op 12 maart 2013 21:11]

Jammer van je voorbeeld want daar wordt nogmaals aangegeven dat juist Android en Windows de probleem gevallen zijn en iOS nogsteeds goed presteerd. OSX gaat het juist iets slechter mee.
"During the past few quarters, we've seen that the Android OS is the most popular target for writers of mobile malware," McAfee's report said. "This quarter was no different; practically all new mobile malware was directed at the Android platform. The mix included SMS-sending malware, mobile botnets, spyware, and destructive Trojans."
Ik zeg toch nergens dat het bij Apple allemaal koek en ei is. Maar zij proberen het tenminste en niet met onverdientelijk resultaat. Ze hebben bijna het kleinste percentage malware / virussen van alle mobiele os'en ( alleen Windows Phone heeft er nog minder wat opzich niet raar is gezien hoe oud het is) en redelijk dezelfde setup heeft.

Waar het mij om gaat is dat iedereen het schijnbaar normaal vind dat dit gebeurt, en dat iedereen er maar mee moet leren omgaan.

Daar ben ik het dus pertinent niet mee eens, er is geen reden voor en het valt niet goed te praten. Het is gewoon je prioriteiten goed hebben.

Het gaat er niet om wat anderen doen, je wilt toch dat je eigen product ( Android ) een success word? En daar valt fatsoenlijke bescherming van je gebruikers ook onder.

[Reactie gewijzigd door ronaldmathies op 12 maart 2013 22:36]

Verder kan swiftkey ook updates voor een bepaalde taal downloaden, daarvoor heeft het ook internettoegang nodig natuurlijk.

Verder vind ik dit niet echt nieuws. Als je de gebruiker kan overtuigen om buiten de appstore om jouw apk te installeren dan is het niet zo moeilijk meer om voor een virus te zorgen.
Verder kan swiftkey ook updates voor een bepaalde taal downloaden, daarvoor heeft het ook internettoegang nodig natuurlijk.
Is dat niet als app-update uit te rollen? Een ingebouwd updatesysteem klinkt mij een beetje als het wiel opnieuw uitvinden.
Nope, dit werkt veel makkelijker. Als je Swiftkey gebruikt krijg je een bericht als er een geupdate taalbestand beschikbaar is. De hele app opnieuw moeten downloaden is onlogischer.

Edit:
Overigens download je voor zover ik weet niet meer de hele app, maar alleen wijzigingen. Maar in principe vind ik Swiftkey zoals het is prima functioneren. Zeker in het kader van deze discussie, het is niet mogelijk om de APK van Swiftkey zonder tussenkomst van de gebruiker te vervangen. Deze discussie gaat alleen om het downloaden van Swiftkey uit een illegale bron, dan vraag je er imho ook zelf om.

[Reactie gewijzigd door reemprive op 12 maart 2013 16:40]

Verder kan swiftkey ook updates voor een bepaalde taal downloaden, daarvoor heeft het ook internettoegang nodig natuurlijk.
Je kan uitbreidingen op applicaties ook aanbieden via de Play Store. Ook hiervoor hebben applicaties zelf geen toegang nodig tot het Internet. Praktijkvoorbeeld zijn bepaalde media players die losse libraries aanbieden voor verschillende platformen om hardwarematig films af te kunnen spelen.

[Reactie gewijzigd door The Zep Man op 12 maart 2013 15:01]

Dat is het probleem van (het business model van) SwiftKey
Niet alleen. Het is ook een probleem met het permissie model van Android. Je moet een app altijd wel of niet toegang geven tot 'het netwerk'. Zelfde voor SD, contacten e.d. Het is altijd alles of niets.

Ik wil kunnen zeggen dat een app toegang krijgt tot ÚÚn mapje op de SD. Tot een bepaalde groep gebruikers en tot een bepaald domein op het netwerk.

Als de Swiftkey app ineens toestemming vraagt zoals dit:
Deze applicatie wil permissie voor:
  • Netwerktoegang voor domein swiftkey.com
  • Netwerktoegang voor domein hacked.org
In plaats van
Deze applicatie wil permissie voor:
  • Netwerktoegang voor domein swiftkey.com
dan heb je als gebruiker al weer wat meer kans om het verschil te zien.

Zelf installeer ik vrijwel nooit apps, want ze willen allemaal netwerktoegang en dat geef ik ze gewoon niet. Mij te link. Maar als Android dit per domein zou kunnen uitsplitsen zou ik al weer wat meer vertrouwen hebben.

EDIT: Extra lijst item weggehaald die door bug in lijst knopje was toegevoegd

[Reactie gewijzigd door OddesE op 12 maart 2013 16:41]

Dat zou netjes zijn, maar is tegelijkertijd ook een schijnveiligheid. Swiftkey kan door een andere hack al lang via een gehackte proxy verlopen. Dat kan zelfs helemaal buiten je android-device om zijn geregeld.

Een "Netwerktoegang voor domein hacked.org"-melding is natuurlijk veelzeggend. Maar enkel "Netwerktoegang voor domein swiftkey.com" wil niet altijd zeggen dat het wel veilig is.
MIUI heeft al sinds jaar en dag een permission manager (namelijk LBE) ingebouwd.
LBE reguleert SU (superuser) toegang, dat staat los van de permissies die apps krijgen.
Dit is onjuist. Met LBE kun je apps wel of geen toegang geven tot:

- Netwerk
- Het versturen van SMS
- Het uitlezen van SMS
- Het uitlezen van de contacten
- Belgeschiedenis uitlezen
- Positionering (uitgesplitst in GPS en grof)
- Toestelid
- Oproepen maken
- Toestelstatus uitlezen (scherm aan of uit)
- Inkomende en uitgaande oproepen monitoren

LBE heeft SU wel nodig om te kunnen werken, aangezien het root nodig heeft om deze taken te kunnen uitvoeren.
Voor mij super handig; ik heb meerdere devices met allemaal een aangepast toetsenbord. Sterker nog; ik wou dat ze het allemaal hadden, net zoals Swype Beta!
Wat een onzin artikel. Je kunt elke APK uit elkaar halen en informatie eruit halen. Het opnieuw publiceren in een Play Store is dan weer zowat onmogelijk. In tegenstelling tot illegaal aanbieden, maar ja, dat is meer eigen schuld, dikke bult.
Het is geen onzin artikel, het is een artikel die mensen waarschuwt dat gekraakte apps mogelijk meer kunnen dan je wilt. dat dit eerder bekend is is waar, maar nu heb je gewoon een voorbeeld die laat zien "dit is letterlijk wat er kan gebeuren", en dat is veel krachtiger een algemene waarschuwing zonder daadwerkelijke voorbeelden.
Gezien de hoeveelheid aan malware die onder een bekende naam op de Playstore gezet wordt is het dus wel mogelijk.
Waarom deze package niet aanpassen en op de Playstore zetten? Voordat het eraf wordt gehaald kan je al aardig wat schade berokkenen.
Eigen schuld dikke bult van wie precies? De gebruiker? De originele ontwikkelaar? Google?

Want alle drie de partijen zijn de dupe in dit verhaal, behalve de veroorzaker.
De gebruiker, want die download een betaalde app uit onbekende bron, waren we het hier op Tweakers niet eerder eens over het Limewire en malware verhaal?
Natuurijk is iedereen behalve de veroorzaker de dupe van dit verhaal, het hier gewoon om spyware. Dat neemt niet weg dat het probleem bestaat omdat de gebruiker zijn apps liever "gratis" download.
Dikke bult voor gebruikers die onder Instellingen op een Android het vakje aanvinkt om apps van onbekende bronnen te installeren.
Dat is wel een kwalijke zaak. Hiermee wordt overigens mijn 'angst' van meer dan een jaar terug mee bevestigd. Het speelde al een lange tijd in me hoofd dat keyloggen toegepast zou kunnen worden binnen android.

Ik hoop dat gebruikers dit overigens mee krijgen en gewoon netjes ervoor betalen als ze er gebruik van willen maken.

Overigens vind ik het ook een goeie zet van de ontwikkelaar om het te publiceren en daarmee toch (waarschijnlijk niet de juiste) een groot groep mensen bewust maakt.
Let wel op dat een standaard gebruiker dit niet voor elkaar krijgt. Je moet de APK op je telefoon zetten, de check bij "apps van onbekende ontwikkelaars" aanzetten, de warschuwing hiervan accepteren, de APK inladen, de waarschuwing accepteren en dan de permissies accepteren..

Als een keyboard internet nodig heeft is er wat mis...
Swiftkey heeft standaard internettoegang om bijvoorbeeld dictionaries te downloaden en eerder getypte tekst van Facebook/Gmail af te halen. Het toetsenbord zelf heeft natuurlijk geen internet nodig, extra functionaliteit daaromheen wel.

[Reactie gewijzigd door Quipeace op 14 maart 2013 11:41]

En ik maar denken dat een beetje App, net als een installer in Windows, ge-signed is, met de key van de maker.
Is het ook. Maar je kan elke app repackagen met een eigen handtekening en aanbieden van je eigen website.
Bedankt voor de info.

Maar dan is de moraal dus gewoon "Koop/download geen illegale software."

In mijn oren klinkt het toch allemaal wat minder ernstig dan. Dit is m.i. dan meer zoiets als tegen mensen zeggen dat die 'crack.exe' die ze net gedownload hebben wel eens een trojan/virus zou kunnen bevatten. Lijkt me nogal wiedes, ja.
Ik weet het niet hoor. Maar ik vertrouw die hele Play Store niet. Als je ziet hoeveel "vreemde" apps daar in staan t.o.v. de iOS appstore. Google heeft de laatste tijd wel de controle aangescherpt. Maar dan nog staan er veel apps in die een verdachte indruk maken.

Ik heb een Android telefoon. Maar bankzaken etc. doe ik liever op mijn iPad of Macbook.
En dat is puur vanwege het gevoel.

edit: typo

[Reactie gewijzigd door sjer op 12 maart 2013 17:46]

Op die platformen is Malware ook een veel minder groot probleem, dus je argument kan ik zeker begrijpen. Al komt die malware op Android volgens mij wel grotendeels binnen via alternatieve stores. Ik snap echter niet dat sommigen Android zoveel roem toedichten juist vanwege die alternatieve stores. Wat heb je daar nu aan wanneer je weet dat juist via die bronnen allemaal malware naar binnen komt (ik meende te lezen 96% van alle malware komt op Android binnen).
Vrij logisch, omdat je zelf beslist wat je op je toestel installeert. Google waarschuwt je ook als je iets installeert van buiten de play store om. Vanaf dan ga je verder op eigen risico.

Uiteindelijk, jij betaalt voor je device, jij mag er mee doen wat je wil en niemand heeft zich daar mee te moeien.

Aan andere kant, als je software illegaal download en installeert moet je maar op de blaren zitten, betaal je zoals het moet, dan heb je dit probleem alvast niet.
De enige regel in het nieuwsartikel wat nog een beetje leeswaardig is, is de volgende.
Met het publiceren van de methode wil de ontwikkelaar aantonen hoe gemakkelijk het is om installatiebestanden zo aan te passen dat er malware van wordt gemaakt.
Voor de rest maakt het niets uit welk OS je gebruikt en welke applicaties. Installatie packages voor de diverse linux distros kun je vaak al met tar en gzip uit elkaar trekken, executables en msi installatie bestanden zijn ook al jaren uit te pakken, APK bestanden(is dat meer dan een gezipt bestandje?) idem dito, geen idee hoe Apple dat doet, maar dat zal ook niet al te veel moeite kosten.

En zelfs betrouwbare bronnen kunnen ge´nfecteerd zijn. Hack een website, upload een nieuw installatie bestandje en hop, daar heb je een betrouwbare bron met een ge´nfecteerd bestand. Zou ook niet de eerste keer zijn dat zoiets gebeurt. En dan helpt je firewall ook maar weinig, ook al geef je alleen toestemming voor een auto update naar een IP of host op een bepaalde poort.
Voor de rest maakt het niets uit welk OS je gebruikt
Da's wel heel erg kort door de bocht. Het gaat natuurlijk altijd nog om de combinatie van omstandigheden en voorzieningen die voorhanden is, die het makkelijker en/of aantrekkelijker maken om malware op deze manier te verspreiden.
Dit kon al vanaf dag 1 bij Android, het is juist zo opgezet dat die vrijheid er is (en vrijheid werkt nou eenmaal 2 kanten op). Dit kon elke beetje programmeur in 10 minuten aantonen...

Je moet overigens wel zelf handmatig dat keyboard installen, en de waarschuwing dat er in externe keyboards een mogelijkheid zit dat er loggers in zitten accepteren :P Buiten dat je eerder al hebt moeten accepteren dat je een keyboard installeerd met internet rechten...

Tja ik zie het gevaar niet, maar misschien omdat ik gewoon lees en daardoor weet wat ik doe...

[Reactie gewijzigd door watercoolertje op 12 maart 2013 14:34]

Dit kon al vanaf dag 1 bij Android, het is juist zo opgezet dat die vrijheid er is (en vrijheid werkt nou eenmaal 2 kanten op). Dit kon elke beetje programmeur in 10 minuten aantonen...

Je moet overigens wel zelf handmatig dat keyboard installen, en de waarschuwing dat er in externe keyboards een mogelijkheid zit dat er loggers in zitten accepteren :P Buiten dat je eerder al hebt moeten accepteren dat je een keyboard installeerd met internet rechten...

Tja ik zie het gevaar niet, maar misschien omdat ik gewoon lees en daardoor weet wat ik doe...
Klopt. Daarbij vraag ik me af hoeveel downloads dergeljike gemodificeerde apk's hebben. Ik weer dat de officiele SwiftKey app waarschijnlijk minimaal een miljoen downloads heeft. Als er vervolgens 1200 of iets dergelijks staat dan weet ik genoeg. En dan moet zo'n app ook nog in de Play Store terecht komen.
Als je via de Play Store download dan is er niets aan de hand. Maar dat kost een paar centen, dus halen veel mensen ze ergens van internet vandaan. Daar kan je de bron niet goed controleren en dan loop je dus risico op een gemodificeerde apk
En wat te denken van alle ROMs !! Een dergelijke verbouwing zou eenvoudig in een custom ROM gedaan kunnen worden.
En wat met al die linux distros? ;)

Zoals altijd: common sense gebruiken.
En jij hebt dat keyboard dus op die manier ge´nstalleerd?
Het probleem is natuurlijk dat vrijwel niemand dat gevaar ziet.

[Reactie gewijzigd door SoloH op 12 maart 2013 15:02]

En jij hebt dat keyboard dus op die manier ge´nstalleerd?
Het probleem is natuurlijk dat vrijwel niemand dat gevaar ziet.
Er is geen andere weg, maar nee ik heb dat keyboard niet, en hoef het ook niet...

Was trouwens NOG een check/waarschuwing vergeten, als je voor de eerste keer een app buiten de market wilt installeren moet je op dat moment een waarschuwing hebben gehad dat apps buiten de market NIET te vertrouwen zijn en dus malware/keyloggers kan bevatten :)
Ik snap de kritiek hier niet op Tweakers. Het is een belangrijk punt om bij stil te staan. Ik zou zo een keyboard kunnen maken voor Android met een keylogger en die op de Playstore zetten, niet waar?
Er is dan wel een melding dat de app internet nodig heeft, maar daar klikt toch de meute doorheen. Zeker als de app misschien nog echt wat doet met internet.

Dan kan je wel zeggen, eigen schuld, dikke bult, maar zo werkt het in de praktijk toch niet. 90 procent van de bevolking weet niet eens wat een keylogger is.

En daarbij... Als ik iemand toegang geef tot data via een pw, dan moet ik maar vertrouwen op zijn telefoon. Zelfde geldt natuurlijk voor PC of Mac, maar die zijn minder kwetsbaar omdat je geen keyboard app installeert.

Dan nog de jonge jeugd. Die zien over het algemeen helemaal het gevaar niet van Side loading, maar wel de lol van gratis apps. Hoe vaak ik mensen al niet heb moeten helpen van malware af te komen. Dan zeg ik altijd dat ze niet die gratis spelletjes moeten downloaden, etc, maar denk maar niet dat ze er iets van begrijpen, ze blijven het doen.

Ten tweede wijst de schrijver van de hack vooral op het feit dat Android apps vaak Java is en daarom makkelijk te injecteren is met code. Het heeft nog niet eens zozeer te maken dat de veel Android gebruikers hun toestel hebben geroot.

[Reactie gewijzigd door SoloH op 13 maart 2013 13:32]

Jouw reactie is dus precies waarom er kritiek is op dit artikel :)

Het gaat in dit artikel dus niet om apps uit de Playstore die malware bevatten (Dat is wel zo, maar daar gaat dit artikel niet over.)
Of dat die van buitenaf "geinfecteerd" kunnen worden.

In dit artikel wordt alleen gezegd, dat je bestaande software kan infecteren met malware. en dat als jij software uit onofficiele/dubieuze bron installeert, je kans hebt op malware.

Hoewel het goed is om hier bij stil te staan, is dit niet echt "nieuws"(waardig). En al zeker niet op de manier zoals Tweakers het brengt. Dit kan met alle software, niet alleen swiftkey. Dit is lezers trekken met sensatie-titels ala Telegraaf. En dat vind ik jammer.
Dat lees jij er misschien in, ik lees een interessant artikel wat achter de link zit. Android gebruikers schieten altijd zo in de stress als Android in het slechte nieuws komt.
En je kan wel in alle apps een keylogger bouwen, maar dat is niet interessant. In een keyboard bouwen is natuurlijk ENORM interessant voor kwaadwillenden.
Nogmaals, er zijn genoeg mensen die dit zouden installeren omdat ze er geen geld voor willen geven en zich van geen kwaad bewust zijn.
Daarnaast is het nog eens interessant hoe hij het doet.

En dat van die telegraaf titel slaat ook nergens op. Het beschrijft exact waar het over gaat.
"Omdat de volledige app niet gratis is, wordt veel gebruikgemaakt van gedownloade installatiebestanden voor de app die op piraterijwebsites worden aangeboden. Daarmee lopen gebruikers dus het risico op keyloggers."

Dat is niet wat ik erin lees, dat is wat er staat en dit heeft niks met android te maken, die verdedig ik niet.

Het is gewoon algemeen bekend dat als je dingen download van thepiratebay.com er virussen in kunnen zitten. En daarom vind ik dit zo'n raar artikel. Gaan we nu artikelen krijgen voor alle stukjes software met virussen op thepiratebay.com?

Ik ben dit gewoon niet gewend van tweakers, en dit is ook de eerste keer dat ik klaag over de berichtgeving op Tweakers. Het is een Tech-site, en daar verwacht ik meer van. Voor de Telegraaf was dit artikel perfect.

De titel insinueert dat de officiele app die je download uit de store gehackt is. Het was een stuk minder spannend als er stond:
"Illegale versies Swiftkey kunnen makkelijk keylogger bevatten"

Maargoed, genoeg ge-rant, Ik denk dat je mij nu wel begrijpt :)
(en ik ben niet boos op Tweakers... maar teleurgesteld }> )

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True