Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 53, views: 23.556 •

De app Google Instellingen blijkt gebruikers al maanden te beschermen tegen mogelijke exploits van een bug, waarbij kwaadwillenden een legitieme app kunnen injecteren met malware zonder dat het opvalt. Er is nog geen exploit van de bug bekend.

Verify Apps Google Android beveiligingDe ontdekkers maakten de bug, waarbij installatiebestanden van apps kunnen worden aangepast zonder dat de cryptografische handtekening wordt gewijzigd, vorige week bekend. Ze zullen de details delen op hackersconferentie Black Hat, die over enkele weken plaatsvindt in Las Vegas.

Wel heeft een andere ontwikkelaar ontdekt hoe de bug werkt. Hij heeft een proof-of-concept op Github geplaatst. Volgens Security Ledger werkt de bug door in de apk een tweede bestand met malware te injecteren in het installatiebestand. De proof-of-concept doet dat met het bestand classes.dex. Alleen het eerste zal worden gecheckt, maar beide worden geïnstalleerd.

De ontdekkers seinden Google al in februari in en die maakte in maart een fix. Onder meer de Galaxy S4 beschikt al over deze fix, maar veel meer gebruikers blijken beschermd. Wie de functie Verifieer Apps heeft aanstaan, is beschermd tegen exploits van deze bug, zo schrijft ZDNet. Deze functie checkt vemoedelijk op dergelijke dubbele bestanden in de apk. De functie zit in de app Google Instellingen, die veel gebruikers sinds enige maanden op hun telefoon hebben. Hoeveel gebruikers deze app op het toestel hebben staan, is onduidelijk; hij is geschikt voor elke Android-telefoon.

Er zijn overigens nog geen exploits waargenomen door Google, dat een log bijhoudt van alle geverifieerde apps. Het ligt ook niet voor de hand dat dat gaat gebeuren. Hoewel de ontdekker van het lek, het beveiligingsbedrijf BlueBox, hoog van de toren blies met de claim dat het de 'master key' tot 'vrijwel alle Android-toestellen' had ontdekt, is de impact van de bug gering. Vaak gebruiken kwaadwillenden al aangepaste legitieme apps om malware te verspreiden; die bevatten een andere cryptografische handtekening dan het origineel, maar omdat ook de naam van ontwikkelaar van de app is aangepast, kunnen die apps met malware geïnstalleerd worden.

Hoewel het aantal gevallen van malware op Android in de afgelopen jaren fors is toegenomen, zijn er nog altijd geen grote uitbraken van malware op Android-apparaten geweest. Dat kan komen doordat de Play Store, voor veel gebruikers de enige plaats waar ze apps downloaden, voldoende bescherming biedt. Ook zou het kunnen dat criminelen hier juist op aansturen, zodat zo weinig mogelijk mensen hun telefoon tegen malware beveiligen.

Update 12:43: Oorspronkelijk stond in het artikel dat 'vermoedelijk' Android 4.0 of hoger zou zijn vereist om via de app Google Instellingen veilig te zijn, maar zoals diverse tweakers opmerken zijn ook oudere toestellen met Android 2.3 standaard beveiligd tegen exploits van deze bug. Daarmee zijn er bijna geen in Nederland verkochte toestellen standaard vatbaar voor een exploit van deze bug.

Reacties (53)

Google heeft zijn zaakjes dus goed op orde, als telefoonfabrikanten nu wat vaker updates uit zouden brengen zijn alle toestellen netjes beschermd. Toestellen van ouder dan 1.5 jaar zijn simpelweg niet veilig meer, dat is vreemd aangezien er wel 2 jaar garantie op dient te zitten volgens de europese wetgeving. Ik vind dat onder garantie ook verplicht beveiligingsupdates zouden moeten zitten.
Nou, afgaande op het artikel ("Wie de functie Verifieer Apps heeft aanstaan, is beschermd tegen exploits van deze bug") vind ik toch bedenkelijk. Ik weet niet waarom die app wel of niet aan staat, maar het lijkt me dat die app altijd moet draaien, cq gestart moet worden bij installatie, tenzij de gebruiker die app bewust uit zet.
Dat is dus precies wat er ook gebeurt. De functionaliteit staat standaard aan tenzij de gebruiker er voor kiest deze functionaliteit zelf uit te zetten. Alleen tijdens installatie moet er nog wel gekozen worden voor "Verify and install", anders wordt hij (in ieder geval op mijn Oppo Find 5) ge´nstalleerd met de "Package installer" die niet deze verificatie uitvoert.
Dus zolang de gebruiker Google Settings geinstalleerd heeft en kiest voor "Verify and install" tijdens installatie is er geen enkel probleem.
Deze opmerking raakt werkelijk kant nog wal. Hoewel Android mogelijk minder is als iOS, (wat niet mijn mening is) is het een OS dat geweldig presteert, en dus absoluut niet met vista vergeleken kan worden.
Dat jij het persoonlijk niet prettig vind, is jou zaak. Ik heb toch veel liever Android met z' n bestandbeheer, dan iOS waar klaarblijkelijk alles via iTunes of mail erop gezet moet worden.
nieuws: Gerucht: Android 5.0 komt in oktober en biedt 'optimalisaties'

Ja, klopt helemaal, die conclusie van jou [/sarcasm]

Google is juist bezig met het maken van een zo snel en stabiel mogelijk OS, en daar slagen ze best goed in. Lees dat artikel nog maar eens na. Feit is dat Google z'n zaakjes goed op orde heeft, of je nu van android houdt of niet. Als't traag is wordt dat veroorzaakt door een extra OS laag over android heen, zoals Sense bij HTC bijvoorbeeld. Een kale android is bliksemsnel, zoek maar eens naar gebruikerservaringen van de Nexus, of een 'kale' Galaxy IV of One. En onveilig, alleen als je doelbewust eea uitschakelt. Maar laten we het dan ook maar niet hebben over een gejailbreakte iPhone...
Ik ben ook geen fan van Android, maar stel je niet aan. Of je nu windows, android of ios op je apparaat hebt staan, het maakt in de praktijk geen bal uit.

Ze zijn allemaal te kraken, ze zijn allemaal onveilig en ze worden allemaal uiteindelijk traag. Maar het belangrijkste van allemaals, je kunt met alle drie hetzelfde. Het is maar net wat je fijn vind of gewend bent.
Je hebt garantie op de telefoon ja, maar wat jij er vervolgens mee doet heeft er niets mee te maken.

Op een auto heb je ook fabrieksgarantie, maar als jij met je golfje offroad rallys gaat rijden, dan moet je ook niet bij VW aankloppen omdat je achteras kapot is.

Natuurlijk heb je wel gelijk dat beveiligingsupdates wel geleverd zouden moeten worden, maar als je gewoon de Google Play Store gebruikt, dan heb je nergens last van.

[Reactie gewijzigd door Wh4ck0 op 9 juli 2013 11:59]

In dit geval heb je dan nergens last van, maar als er een exploit word gevonden die een serieus risico met zich mee brengt dan kan je dus niet meer vertrouwen op het toestel, het hoeft dus niet afhankelijk te zijn van de gebruiker. Je vergelijking klopt daarom niet helemaal. Vergelijk het eerder met het kopen van een nieuwe auto waarvan na 1,5 jaar je er niet van op aan kan dat hij de hele rit vol gaat houden. Je loopt de kans met pech langs de weg te belanden. Het ligt niet volledig in jouw handen als een product niet veilig meer is.
HTC vertikt het bijvoorbeeld doorgaans om toestellen langer dan een jaar van updates te voorzien. Mocht er nu ineens een lek worden gevonden in de kernel wat niet met een app is op te lossen dan is het nog maar de vraag of ik binnen de garantietermijn van mijn toestel een werkende telefoon heb.
Je hebt het duidelijk niet goed begrepen. Je moet als eerste toestaan dat applicaties uit onbekende bron ge´nstalleerd mogen worden. En als je installeren uit onbekende bron toestaat, heb je dus nog de keuze om deze apps te laten verifiŰren bij Google. Het ligt dus wel degelijk volledig in je eigen handen.

Verder: HTC brengt nog wel degelijk updates (bugfixes) uit, alleen de Android-versie blijft hetzelfde.

Daarnaast, Google maakt steeds meer onderdelen van Android onafhankelijk van het versienummer en die onderdelen worden dan toch geupdate.
je hebt duidelijk niet goed gelezen wat ik schreef, ik had het over "andere exploits"
als er een exploit word gevonden die een serieus risico met zich mee brengt dan .....
En wat betreft HTC, ik heb al meer dan een half jaar geen enkele update meer gezien voor mijn nog geen 2 jaar oude HTC sensation.

En wat betreft je laatste punt, ik had het over de kernel, een exploit in de kernel kan je niet met een app update fixen.
... dat is vreemd aangezien er wel 2 jaar garantie op dient te zitten volgens de Europese wetgeving...
Ik wil hier even op inhaken. De Nederlandse wetgeving zegt dat je garantie op een product hebt zolang je het deugdelijk acht. Dat is dus, bij een smartphone, vier a vijf jaar.

Nou weet ik ook wel dat de Europese wet de Nederlandse wet "overruled" maar toch, gekocht in Nederland = onder Nederlandse wet = Garantietermijn volgens de Nederlandse wet.
Prima dat je dat vind. Het is verdomd lastig om twee jaar softwareservice in een prijs te verwerken.
Google heeft zijn zaakjes dus goed op orde, als telefoonfabrikanten nu wat vaker updates uit zouden brengen zijn alle toestellen netjes beschermd. Toestellen van ouder dan 1.5 jaar zijn simpelweg niet veilig meer, dat is vreemd aangezien er wel 2 jaar garantie op dient te zitten volgens de europese wetgeving.
En daar zit dus ook meteen de grootste culprit van Android, elke telefoonfabrikant heeft hun eigen versie en doen lang niet altijd netjes de boel bijwerken. Als er gewoon gewerkt zou worden met een standaard Android, dan zou iedereen (mits de kernel het ondersteund) netjes kunnen updaten zonder afhankelijk te zijn van de fabrikant zelf (hooguit voor enkele hele speciale onderdelen)..
In de eerste plaats is hier geen europese wetgeving van toepassing omdat de Nederlandse garantie wetgeving meer rechten geeft aan de koper dan de europese: in Nederland moet een product zo lang mee gaan als redelijkerwijs van een product verwacht mag worden. Hierin voorziet BW 7:17.

Het is echter moeilijk te bewijzen dat je in geval van malware recht hebt op garantie. Als jij namelijk zelf de malware ge´nstalleerd hebt - ook al is het uit onwetendheid - ligt het niet aan de verkoper (de fabrikant is geen partij bij garantie, dat is tussen verkoper en koper) dat het defect ontstaan is. En de meeste Android malware komt op die manier binnen.
dat laatste zinnetje uit ZDnet is ook toch niet onbelangrijk tweakers

They may not need to worry too much. Scigliano added, "We have not seen any evidence of exploitation in Google Play or other app stores via our security scanning tools. Google Play scans for this issue - and Verify Apps provides protection for Android users who download apps to their devices outside of Play."
Ik vermoed dan dat het grootste gedeelte dan toch wel veilig is. Over t algemeen is er maar een klein groepje die apps installeren buiten de Google Play store om.
In de VS/EU misschien. Veel telefoons in China en andere landen komen echter met alternatieve app stores.

Zelfs als Google Play op je telefoon aanwezig is ben je daar vaak gedwongen een alternatieve store te gebruiken omdat veel apps simpelweg de melding "Not available in your country." geven, terwijl de app wel gewoon goed werkt als je hem eenmaal ergens vandaan hebt gehaald.
Over t algemeen is er maar een klein groepje die apps installeren buiten de Google Play store om.
Alle Kindle fire gebruikers bijvoorbeeld
Op de kindle fire draait een zwaar aangepaste versie van android, dat is de verantwoordelijkheid van amazon.
daar zit toch ook al een evolutie in ? stock htc one en stock S4... laat ons hopen dat de verkoopcijfers het goed doen zodat ze dit blijven volhouden en ben nu echt benieuwd hoeveel tijd er gaat zitten bij het uitbrengen van de volgende grote versie android (key lime) tussen update stock en eigen versie...
Ik ben zelf geen groot van van Apple en de producten. Maar Apple doet wel wat bijna alle andere fabrikanten met Android toestellen verwaarlozen; het updaten van de apparaten. Hoewel ik het idee heb dat fabrikanten dit steeds beter beginnen te doen. (HTC One X ruim een jaar na dato nog een update naar de nieuwe Android, Galaxy S2 nog niet zo lang geleden een update etc.)

Ik ben wel blij dat Google en/of andere ontwikkelaars van het Android platform zorgen dat dit soort belangrijke problemen worden opgelost. Nu maar hopen dat toestellen beter geŘpdatet worden.
Het probleem is hier niet Google maar de OEM's die telefoons uitbrengen. Google rolt best vaak updates uit (ik heb een Nexus, dus geen OEM crap), maar de OEM's houden dat vaak niet bij omdat ze custom software meeleveren met hun Android telefoons. Denk aan HTC's Sense of Samsung's TouchWiz.

Het is, blijkbaar, erg lastig voor een OEM om point-releases te maken voor hun firmwares. Blijkbaar is dat in hun ogen teveel moeite voor bijna geen winst.

Bovendien wordt je zo een beetje gedwongen om een nieuw toestel aan te schaffen als je Úcht de nieuwe Android versie wilt. De massa boeit dat 0,0 maar de Tweakers onder ons (die geen zin hebben om te rooten niet weten hoe dit moet) zijn daar anders in.
Een beetje Tweaker kan een telefoon best wel rooten toch! Het is vrij makkelijk om er dan een custom rom of stock android op te zetten met de nieuwste updates.
en toch lekker schreeuwen met z'n allen op technology sites zoals the verge, engadget enz. lekker hypen die boel dat android weer eens onveilig is (en ios blijkbaar wÚl heel veilig *cough* en lekker veel vrijheid heeft *cough*).
Over lekker schreeuwen gesproken :S

feit blijft, dat dit op een stock android toestel mogelijk is als je een bepaalde instelling niet aan hebt staan.
Een dergelijke bug is op iOS al een tijd niet meer gevonden, en worden meestal gebruikt om te jailbreaken.
die moet je dan wel ZELF uitzetten.
sterker nog, op mn S4 zit ie verstopt in de developer mode, die je ook nog eens met een foefje moet inschakelen.
Bron? Dit heb ik nog nooit eerder gezien of gehoord.
Toestellen van HTC, Samsung, LG en Sony hebben het standaard aan staan, ik vermoed dat dit bij Chinese toestellen anders is. Maar ik zou dat geen legio durven noemen, het overgrote deel van de consumenten heeft een toestel van een van bovengenoemde merken en daarmee is het dus eigen verantwoording.
en toch lekker schreeuwen met z'n allen op technology sites zoals the verge, engadget enz. lekker hypen die boel dat android weer eens onveilig is (en ios blijkbaar wÚl heel veilig *cough* en lekker veel vrijheid heeft *cough*).
Let op dat android inderdaad onveilig is.
De google play app en instellingen app zijn in feite geen default onderdeel van android.
Het zijn Google toevoegingen aan android die wel op de meeste telefoons in Nederland voorkomen. Maar bijvoorbeeld niet op Kindle tablet van amazon of telefoons die in Azie worden uitgebracht die al direct met alternatieve apps stores worden aangeleverd.

Voor de meeste Nederlandse android gebruikers die wel de Google toevoeingen op hun telefoons en tablets hebben staan is er dus geen risico maar voor android gebruikers zonder deze google toevoegingen is het risico wel heel groot.

De kindle fire tablet is overigens de meest verkochte tablet na de ipad.

[Reactie gewijzigd door hAl op 9 juli 2013 16:00]

De functie zit in de app Google Instellingen, die veel gebruikers sinds enige maanden op hun telefoon hebben.

Google instellingen zit ook op de oudere versies van Android(gechecked op v2.3.6), echter de optie 'Apps verifiŰren' zit hier niet in.
Op mijn Nexus 4(v4.2.2) en mijn DesireHD(Custom rom v4.2.2) staat het inderdaad standaard aan.

Je kunt het terug vinden onder : Instellingen > beveiliging > Apps verifiŰren
Op Android 2.3.7 heb ik wel Google Settings inclusief Verify Apps. Staat standaard aan.
Heb hier v2.3.5 stockrom van desirehd en daarin staat Apps verifiŰren netjes aan
Heb het hier nog even gecontroleerd.
Deze Galaxy S Plus versie 2.3.6 heeft bij het instellingen menu alswel Google Instellingen(wat alleen instellingen zijn gericht op Google diensten) geen optie om de apps ter verifieren. Schijnbaar heeft Samsung deze eruit gesloopt.
of je hebt de update nog niet ontvangen.
het is een stille app update, en die worden soms vertraagd ge´nstalleerd.
het zelfde gebeurt ook vaak met de play store.
@marek965 hieronder heeft het bij het juiste eind.
Zodra ik onder(v2.3.6) instellingen>applicaties "onbekende bronnen" aanvink dan krijg ik onder Google instellingen de optie 'Apps verifiŰren".

Het lijkt er bij mijn Nexus4(v4.2.2) op dat in de recentere versies(ik geloof dat er hier ergens vanaf 4.0.4 genoemd werd) de optie standaard aanstaat ook met optie "onbekende bronnen" uit.
Security issue gemeld en aangedikt door een firma dat antivirus software verkoopt op Android. Met andere woorden: niemand van de Android gebruikers zal ge´mpacteerd worden, indien ze zich niet buiten de Play Store wagen voor hun apps en niet zomaar OK klikken op de 2 extra security checks in Jelly Bean wanneer er via Third Party plugins een app ongevraagd wordt gedownload en geprompt wordt deze te installeren.

fijn stukje leesvoer over de "Android ecosysteem is onveilig" farce: http://blogs.computerworl...445/android-malware-scare
Ze verdelen de fix via de google play services, welke automatisch op ieder apparaat gepushed wordt met toegang tot de play store.

Nu staat in het artikel dat het verdeeld wordt naar Android 4.0+, maar ik meen het icoontje van google instellingen ook gezien te hebben bij een Galaxy mini op 2.3.6.
(als ik toegang heb tot het apparaat zal ik het even checken)
In Android 4 kan Google meer updates forceren dan in oude versies. Uit de Google IO keynote begreep ik dat met Android 4.2 zelfs de hele API geŘpdatet kan worden zonder medewerking van de telefoonfabrikant.
Google Instellingen is anders dan het 'gewone' Instellingen-menu en wordt bijgewerkt via de Play Store (Google Play Services).
Ondertussen zijn er in de andere commentaren te lezen dat er nog zijn die de "Apps verifiŰren" terugvinden op een 2.3.
De app veranderd trouwens regelmatig zonder zelfs iets te downloaden (ook ander icoon sinds enkele maanden).
In de beschrijving van die verificatie functie staat dat het alleen apps van buiten de store checkt. Als men deze exploit dus in een app in de store krijgt ben je niet beschermd. Maar wss doet de server dezelfde check, dus geen probleem
Voordat een app in de app store geraakt zal er ook een check gebeuren of de "signature" klopt.
Daarnaast zou je naast deze exploit dan ook nog aan het google play paswoord moeten geraken van de uitgever van de "originele app".

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Websites en communities Lumia Smartphones Laptops Sony Apple Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013