Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 65, views: 27.046 •

Beveiligingsbedrijf Symantec heeft applicaties ontdekt die misbruik maken van kwetsbaarheden in de cryptografische handtekening in Android. Daardoor kan er code in de apps worden gewijzigd zonder dat hierbij de cryptografische handtekening wijzigt.

Volgens Symantec gaat het om twee apps die voornamelijk in China worden verspreid. Het gaat daarbij om legitieme apps die in China gebruikt worden om doktersafspraken mee te maken, aldus het beveiligingsbedrijf. Kwaadwillenden zouden het bronbestand van de beide applicaties hebben gemodificeerd zonder dat daarbij de cryptografische handtekening veranderde, een kwetsbaarheid in Android die begin deze maand werd gepubliceerd. Vervolgens werden de apps door de hackers verspreid.

In de apps zit code verstopt waarmee de hackers op afstand toegang te krijgen tot het apparaat waar het op is geïnstalleerd. Daarnaast is het mogelijk om persoonlijke gegevens te stelen en dure sms'jes te verzenden. De code werd verstopt binnen een .apk-bestand door een tweede classes.dex-bestand aan te maken: hierin wordt normaalgesproken Android-code voor een app opgeslagen. Ook werd er een tweede AndroidManifest.xml-bestand gemaakt om de permissies die een app heeft aan te passen.

Voor gebruikers zijn geïnfecteerde apps niet te onderscheiden van legitieme apps. Wel lijkt het niet aannemelijk dat apps die door hackers zijn aangepast in downloadwinkels zoals de Play Store zullen verschijnen. Android-gebruikers lopen daardoor vooral risico als zij software buiten de applicatiewinkel om installeren. Overigens repareerde Google recentelijk de bug in een nieuwe versie van zijn Instellingen-applicatie. Wie instelt dat apps bij installatie geverifieerd moeten worden is beschermd tegen de bug. Met deze instelling zijn alleen oudere Android-toestellen, met een Android-versie lager dan 2.3, nog vatbaar.

Reacties (65)

Kijk, stuk beter artikel dan nu.nl.

Men heeft het hier trouwens over de setting om apps te verifieren in "Google Settings". Die zal men standaard hebben tegenwoordig.
Overigens is installeren uit onbekende bron nog altijd een risico... Blijf dus lekker bij play store als je veilig wilt zijn :)
Enige nadeel is dat Google dan kan zien welke apps je installeert, en dat vindt niet iedereen even fijn. Toch is een goede optie en zeker handig dat ie standaard aan staat.
Dat is waar, al kan dat natuurlijk ook al als je via Play Store installeert. Als je wil dat Google niets ziet kan je beter een Android fork maken denk ik. :)
En dan weet Microsoft of Apple precies welke apps je draait. Bij Android heb je iig nog de mogelijkheid om het volledig buiten Google om te doen, maar met meer vrijheid komen, zoals blijkt, ook meer risico's en eigen verantwoordelijkheden.
Conclusie: als het je echt boeit dat bedrijven het kunnen zien, dan kan je beter een eigen OS schrijven.
Gewoon AOSP installeren en dan vooral niet de Google Apps die je normaal los er over heen moet flashen... Dan heb je gewoon een Google-vrij apparaat :)
Dat is wel handig, dat Google kan zien welke apps je installeert, zeker als je er voor betaald hebt. Kun je ze ook nog eens installeren op nieuwe telefoons die je in de toekomst koopt.
Probleem is natuurlijk dat niet veel oude toestellen geŁpdatet worden. En in China schijnt men meer te Side loaden van onofficiŽle sites.
En ook al heb jij het misschien dik in orde, er zijn veel mensen met jouw gegevens op zak die het niet in orde hebben. Denk alleen maar aan al die hacks tegenwoordig, waarbij jouw persoonlijke data wordt gejat waarover je totaal geen controle hebt, bij bedrijven die het ook niet op orde hebben, zoals Sony, Apple, Ubuntu, tal van fora en webshops, ziekenhuizen.
Misschien dwaal ik af, maar je moet zo gaan denken, dat alles wat je aan het internet aansluit, niet beveiligd is.
Ik weet er alles van mbt interner veiligheid. Enkele dagen geleden nog aan een hack gewerkt dankzij een admin die hetzelfde wachtwoord op meerdere sites gebruikte en t wachtwoord gejat werd. *sigh*

Enfin, OT:
Play services worden geupdate buiten Android updates om. Die chinezen, mits ze google services hebben (dat is er nog al eens uitgesloopt in China) hebben deze beveiliging ook binnen gekregen.
Sideloading is soms helaas een noodzaak ipv mogelijkheid in China. :/
Dat kan, en dat is dan hun eigen schuld naar mijn mening als ze de waarschuwingen negeren, de app verificatie uitschakelen (2x ingebouwde beveiliging) en geen virus scanner installeren (third party).

Op Windows idem dito.
Ik ontken trouwens niet dat het risico niet bestaat, dat is er zeker. En groot ook als je ripped apps zoekt. Maar dat is meer een user probleem dan een fout in het OS imho.
"Het gebruik van andere stores is op android natuurlijk sterk gerelateerd aan piraterij. "

Ja hoor, de piraterij heeft het weer eens gedaan!

Lees eerst nog even het artikel, dan het commentaar van Whatsapphack: Google en China loopt niet zo geweldig dus Chinezen zijn sowieso gedwongen te sideloaden ook al brengt dat risico's met zich mee.

Als je dan nog even het opgeheven vingertje wilt tonen weet dan ten minste wat er speelt, daarna kun je altijd nog grootmoeders wijsheid gaan verkopen. Inderdaad sideloaden brengt risico's met zich mee, maar ik denk dat hier piraterij niet de reden was.
Idd er zijn meerdere LEGALE stores aanwezig... Blijft heerlijk die onwetendheid bij mensen, Android verhalen van het begin blijven ze gebruiken.
Open is nog steeds beter. Zelfs zwaar gesloten en gelimiteerde systemen, zoals iOS, zijn een aantal keer getroffen door malware.

Bovendien is het lek waar hier over gesproken wordt gepatched dus eigenlijk weet ik niet waar je nu over zeurt. Je vindt Linux en Windows waar je ook kan installeren wat je wilt dus ook zo slecht? :)
Kom op zeg ;) Je kan overdrijven.
Android is niet open.
The Android OS is, in strictly legal terms, open source. Android is released under the Apache 2.0 software license, which allows anyone to use, modify and redistribute the code. But while it might meet the letter of the law, Android falls short on the other two points.

It’s the lack of community-based development that Android’s critics say makes it no more “open” than Apple’s locked-down, decidedly not-open iOS model. As Perens says, “most open source projects [include] instant access to changes as they are made … and an open door for anyone to participate.”

Unlike major open source projects like Firefox or the Linux kernel, you can’t see what’s happening behind the scenes with Android, nor can small developers contribute to the project in any meaningful way. Google typically releases major updates to Android at press conferences, not unlike those Apple uses to show off new iPhone features.

Once the code is released, Android developers can download it and do what they want with it, but they have no way of seeing what’s happening behind the scenes every day. If you want to know how Firefox changed last night — however esoteric those changes may be — you can study the changes on the Mozilla site. The same is true of the Linux kernel, Open Office and nearly every other open source project with a website.

It’s not true of Android. While Android may have the legal licensing to qualify as open source, it utterly fails on the equally important issues of transparency and community.

Android basically gives you two options: Accept what Google gives you, or fork the entire codebase.
http://www.wired.com/business/2010/10/is-android-open/

m.a.w. Google heeft heel slinks het idee gegeven dat android open is en velen zijn erin getuind....
Nee, als je het simpel wilt verworden doe het dan goed. Android is open-source je kan de source-code zo downloaden als je wilt, en je kan er zelf mee doen wat jezelf wilt. Het geen wat niet open-source is zijn de Google App's, Google gaat natuurlijk niet alles vrij geven.

En dat Google zijn eigen gang gaat dat is hun goedrecht, ze geven je gewoon de optie om Android te forken en zelf met een market en app's te komen.
Dat broncode beschikbaar is, maakt iets nog niet open source. De broncode van het .NET framework is ook openbaar, maar dat maakt .NET geen open source.

ASP.NET en MVC worden ontwikkelt op Codeplex, je kunt issues aanmaken en zelfs op elk moment de code bekijken. Maar ook ASP.NET is geen open source..

Waarom gebruikt Microsoft dan toch Codeplex? Op deze manier kunnen zij enorm veel ontwikkelaars betrekken bij de development van Microsoft technologie en al voordat het product officieel wordt gereleased al een userbase creŽren.

Open source heeft volgens het OSI de volgende definitie:
In production and development, open source as a philosophy promotes a universal access via free license to a product's design or blueprint, and b) universal redistribution of that design or blueprint, including subsequent improvements to it by anyone.
En omdat zowel Android als de Microsoft codebases hieraan niet voldoen, mogen ze strikt genomen geen open source genoemd worden.

Nu zijn er een aantal mensen die vinden dat als de broncode openbaar is, dat het open source is, maar waarschijnlijk verwachten ze ook dat in koninginnensoep stukjes koningin zit..
Helaas heb je gelijk maar breng dat de massa maar eens aan het verstand. Die begrijpt amper het verschil tussen hard- en software wat cruciaal is om dat hele verhaal te volgen.
Dat open in OSS niet alleen staat voor leesbare code maar ook voor vrijheid merk je eigenlijk pas als je het gebruikt. (Het maakt computeren ook gewoon leuker, maar dat is mijn mening)

[Reactie gewijzigd door blorf op 25 juli 2013 00:54]

Dat de development fase niet open is, betekent absoluut NIET dat het geen open-source is! DAT argument is pas iets waar velen in getuind zijn... Blijkbaar.
Open source kent geen verplichting om de hele development cyclus ook geheel publiek te gooien, dat is weer iets anders en dat noem je community based opensource... Dan werk je met iedereen die maar wil aan een product. Dat is dus weer iets anders. (Overigens, ook vele community driven opensource projecten hebben een deels afgeschermd development gedeelte. Bijvoorbeeld discussies, bepalen wat wel en niet gemerged wordt, etc.)
Opensource komt in verschillende soorten en maten, en op verschillende manieren van development.

Daarnaast doelde ik met "open" op de mogelijkheid om zelf te bepalen wat, en op welke manier, je iets installeert... Anders had ik het beestje wel bij z'n naam genoemd: opensource :P Maar goed, dit mag ook wel even opgehelderd worden heur. :)

[Reactie gewijzigd door WhatsappHack op 25 juli 2013 01:20]

Maar Google geeft de broncode wel degelijk vrij van hun Android-versies. Dat heb ik Apple met iOS (waar het in jouw quote mee vergeleken wordt) nog niet zien doen :) En dat is wel _de_ manier om kwetsbaarheden snel te vinden en openbaar te maken, zodat een patch snel volgt. Met gesloten software (althans: software waarvan de broncode angstvallig geheim wordt gehouden) heb je ook kwetsbaarheden, je vindt ze alleen lastiger, waardoor ze er langer in blijven zitten. Als kwaadwillenden die kwetsbaarheden exploiteren, kan het langer duren voor de problemen worden opgelost.

http://source.android.com/
Volkomen met je eens. Helaas zijn het de fabrikanten die laks omgaan met het updaten van Android. Als Google een patch uitbrengt duurt het vaak maanden voordat deze in 'productie' beschikbaar is op een niet-nexus toestel. Bij oude toestellen (2 jaar of ouder) is het dan ook vaak de vraag of er Łberhaupt wel een (veiligheids)update komt. Hierdoor blijft Android altijd een interessant doelwit, terwijl andere besturingssystemen, zoals ios en windows (phone) 8, binnen een aanzienlijke termijn kunnen worden gepatcht.
Het punt is dat zowel Android als iOS als WP zo in elkaar zitten dat niets is te controleren voor de eindgebruiker. Deze gebrekkige controle leidt automatisch tot gebrekkige veiligheid.
Kwaadwillenden zouden het bronbestand van de beide applicaties hebben gemodificeerd zonder dat daarbij de cryptografische handtekening veranderde, een kwetsbaarheid in Android die begin deze maand werd gepubliceerd.
Een "certificaat van echtheid" op software is een wassen neus
In de apps zit code verstopt waarmee de hackers op afstand toegang te krijgen tot het apparaat waar het op is geÔnstalleerd. Daarnaast is het mogelijk om persoonlijke gegevens te stelen en dure sms'jes te verzenden.
Trojans en backdoors bestaan al +30 jaar. Opmerkelijk dat dat nu ineens weer een probleem vormt. I.i.g. is het automatisch een groot risico als inkomend en uitgaand verkeer totaal niet gecontroleerd kan worden, ongeacht de bron van de software. Een app-winkel kan net zo goed fout zijn.
Voor gebruikers zijn geÔnfecteerde apps niet te onderscheiden van legitieme apps
Logisch, als je sowieso niet mag zien wat een app echt doet.
Ze zijn pas te onderscheiden op het moment dat je ze uitvoert en de mogelijkheid hebt activiteiten te monitoren.
Wie instelt dat apps bij installatie geverifieerd moeten worden is beschermd tegen de bug
"De oplossing voor alle problemen" |:(

[Reactie gewijzigd door blorf op 25 juli 2013 11:46]

Ik denk dat het principe 'Open Source' in die zin de ruimte laat. ik ben het met je eens dat het veel beter is als 'men' alkle wijzigingen netjes open maakt een openbaar log met keuzes een een verschillende build laat zien van iedere wijziging.

Het is echter als community nog gewoon mogelijk met met de laatste open release van Android aan de slag te gaan en wijzigingen of toevoegingen aan de code op te sturen naar Google. Je kan echter pas uitvinden of die zijn opgenomen met de volgende release. In die zin is het een beetje als een 'ideeendoos' van vroeger. Mensen stoppen hun idee in een zwarte doos die wordt geleegd eens in de zoveel tijd en Google beslist dan achter de schermen wat er wel en niet in komt. Het is semi-transparant in die zin.

Persoonlijk vind ik het fijner als een open source actief alles laat zien en discussieerd met de gebruikers wat wel en geen goede toevoegingen zijn. Google doet dit niet of in mindere mate.

Overigens is de vraag wat de reactie van Google is als er een Android Fork komt die hun positie op de smartphone markt bedreigt.
Jawel, heb je gelijk in, maar Nils7 heeft wel deels gelijk en snap dan ook niet waarom hij naar beneden gemod wordt?

De android fans roepen altijd en overal waar maar kan dat Android oh zo open is (wat ook betrekkelijk is) en dat je bij Android tenminste niet alleen uit de Play store hoeft te downloaden, maar overal vandaan apps kunt halen.

En dit is wat Nils7 bedoeld..dat is dus helemaal niet altijd zo positief als velen willen doen voorkomen..en dat bewijst dit maar weer eens.
Men heeft veel meer vrijheid binnen Android, door oa mogelijkheid installatie buiten de Playstore,
maar dit brengt nu eenmaal verantwoordelijkheid en extra kennis met zich mee.

Een ieder die hier niet mee om kan gaan of kan waarderen, heeft mijns inziens een verkeerde keuze gedaan qua os.

just my 2 cents...
@Cheshire
Ja, dat is leuk voor de tweakers etc.
Maar jij weet net als ik dat vooral Pietje en buurvrouw Jannie een Android toestel hebben omdat het zo lekker goedkoop is..
En omdat ze van iedereen constant horen dat je er meer mee kan, meer gratis etc. etc. etc. Op internet blaten hoe fijn en open alles is.
Dat soort mensen kijken alleen maar naar de voordelen.
Die extra kennis heeft het merendeel van de Android bezitters niet.
Ik denk niet dat je het helemaal snapt...
want sideload methodes op andere besturingssystemen maken je niet vatbaar voor troep?
Sideload-methodes? Leg uit. }>
Het wordt ook eens tijd dat Google de apps controleren op malware voordat ze op de store komen. Vind het ook niet raar dat criminelen gemakkelijk hun gang kunnen gaan op de playstore, sinds ze veel minder streng zijn tegenover de ios en wp store.

Tevens wordt er nog steeds zonder te vragen privť gegevens (zoals imei en email adres) van de gebruiker naar de Developer gestuurd. Snap niet niet waarom dit niet uit te schakelen valt. Voor criminelen is elk soort informatie van een gebruiker geld waard.

edit:
Er is inderdaad permissie nodig voor het downloaden van apps, maar hier staat niet bij vermeld dat deze informatie wordt gedeeld met de Developer. Tevens heb jij erover dat je de ontwikkelaar kan aangeven wegens misbruik, daar is het vaak al dan te laat voor. Ik vind nog dat Developers niet zonder te vragen mijn email adres of imei nummer mogen weten, is dat zo gek? Sniffing tools zijn leuk voor tweakers, maar een normale gebruiker heeft hier geen kaas van gegeten.

Heb jij eventueel een bron waarin staat dat ze tegenwoordig apps controleren voordat het de store op gaat? Niet zo gek lang geleden kon je al binnen enkele dagen je app op de playstore plaatsen, lijkt mij dan niet mogelijk om op alles te controleren. Gezien dat het bij ios en wp veel langer duurt.

[Reactie gewijzigd door vali op 25 juli 2013 03:12]

Het wordt ook eens tijd dat Google de apps controleren op malware voordat ze op de store komen.
Dat doen ze al.
Tevens wordt er nog steeds zonder te vragen privť gegevens (zoals imei en email adres) van de gebruiker naar de Developer gestuurd.
Dat de permissie benodigd is betekent niet dat deze gegevens worden doorgestuurd. Als een ontwikkelaar er niets mee doet dan gebeurt er niets.

Tevens staat de permissie waar je het over hebt (alleen voor imei) vaak aan voor dingen als social score-systemen, advertenties (dit houdt in dat de ontwikkelaar NIET zelf je gegevens opvraagt - de meegeleverde bibliotheek doet dit) en soms zelfs per ongeluk door de Android SDK die deze permissie automatisch toevoegt.

Hoe dan ook, als een ontwikkelaar dan toch nog gegevens doorstuurt zonder de gebruiker hiervan op de hoogte te stellen (en je weet dit HEEL ZEKER na controle dmv sniffen van het netwerkverkeerd oid), dan kan je hem aangeven bij Google omdat hij dan de regels breekt waarmee hij akkoord is gegaan toen hij zichzelf aanmeldde als developer.

(zie "schadelijke producten" op: http://play.google.com/about/developer-content-policy.html )

[Reactie gewijzigd door Stukfruit op 24 juli 2013 22:12]

Noot: het gaat hier om software die geinstalleerd wordt buiten de play store om... Apps in de store worden al gechecked.
Heb je ook een bron waarin staat dat ze dit tegenwoordig doen?? Want niet zo gek lang geleden deden ze het niet namelijk en haalde ze pas apps weg nadat mensen erover gingen klagen. .
Eens kijken hoe de mensen piepen die het "open" van Android zo verheerlijkten.
Dit is een direct gevolg ervan...
Huh? Het gaat om een bug in het signeren van apps, een fout in de cryptografische bescherming. Wat heeft het 'open' Android daarmee te maken?

Of bedoel je dat je via een ADB shell, USB-kabel en aangepaste 'developer settings' een APK kunt installeren? Dat is dan je eigen keuze iets uit andere bronnen te installeren dan de play store. En als dat misgaat is het je eigen schuld ja.

Ik geloof niet dat iemand daarvan gaat "piepen"...
Zo moeilijk is het niet. Artikels en reden genoeg te vinden hierover. http://www.maximumpc.com/...how_sideload_android_apps

Het wordt prima aangemoedigd door magazines, alleen de consequenties snappen mensen gewoon niet of ze denken dat die ene app toch geen kwaad kan, niet iedereen leest tweakers.
Dit is geen direct gevolg hiervan. Met dergelijke masterkeys is het erg lastig om te zien of software wel of niet legitiem is.

Mogelijk kunnen ze vrij snel zelfs een stap verder gaan door in de Play store legitieme (lijkend dan) software te zetten. Welke google niet kan herkennen. Maar alleen procudureel kan afvangen doordat ze contact hebben met bepaalde app makers.
Je wordt natuurlijk weer zwaar gemind, maar je hebt een punt. Het is niet voor niks dat Microsoft de weg van Apple kiest. We hebben namelijk niet te maken met computerkundige consumenten die de telefoon gebruiken. Voor consumenten is de telefoon een gebruiksapparaat om mee te bellen en met de apps te spelen. Mensen en vooral de kinderen en mensen die geen verstand van computers hebben installeren van alles wat los en vast zit met alle gevolgen van dien. Het is niet voor niks dat er zo ontzettend veel malware en virussen op computersystemen te vinden zijn.
Google zou het beter moeten maken door het meer gesloten te maken (niet de source) om de consument beter te beschermen. Waarschijnlijk zullen ze dat ook wel gaan doen.
Je wordt natuurlijk weer zwaar gemind, maar je hebt een punt. Het is niet voor niks dat Microsoft de weg van Apple kiest. We hebben namelijk niet te maken met computerkundige consumenten die de telefoon gebruiken. Voor consumenten is de telefoon een gebruiksapparaat om mee te bellen en met de apps te spelen. Mensen en vooral de kinderen en mensen die geen verstand van computers hebben installeren van alles wat los en vast zit met alle gevolgen van dien. Het is niet voor niks dat er zo ontzettend veel malware en virussen op computersystemen te vinden zijn.
Google zou het beter moeten maken door het meer gesloten te maken (niet de source) om de consument beter te beschermen. Waarschijnlijk zullen ze dat ook wel gaan doen.
Je hebt het over niet computerkundige consumenten. Juist die groep zie ik niet zo snel een andere downloadstore installeren, of allerlei .apk-bestanden van internet downloaden en over usb op hun telefoon zetten. De meeste consumenten zullen dus gewoon de Play-store gebruiken. En voor die route heeft Google de kwetsbaarheid kennelijk verholpen.*

Degenen die via allerlei omwegen proberen om betaalde apps gratis te kunnen gebruiken maken zichzelf kwetsbaar voor deze hack (en andere). Dat gold al in de tijd van de eerste virussen en dat blijft ook nu gelden. En Windows was ook niet echt open source...

Dit soort consumenten en kwetsbaarheden heb je ook gewoon bij iOS. Mensen 'Jailbreaken' hun iPhone om apps te installeren die door Apple zijn afgewezen (om wat voor reden dan ook). Daarvoor is dus ook een onofficiŽle app-store en wie weet wat voor malware daar in zit? Het heeft dus niet met open vs gesloten te maken.

*Ik zeg 'kennelijk', want ik zie in mijn HTC One S niet de instelling zoals die in dit artikel wordt beschreven: "Wie instelt dat apps bij installatie geverifieerd moeten worden is beschermd tegen de bug." Ook de betreffende Google hulppagina biedt geen soelaas.

In mijn Instellingen app heb ik geen optie om "Apps verifiŽren" in of uit te schakelen. Ik ga er eigenlijk vanuit dat HTC dit standaard heeft ingeschakeld en de optie heeft verwijderd om het uit te schakelen.

[Reactie gewijzigd door bilgy_no1 op 25 juli 2013 10:07]

Google Instellingen heet het. kan gewoon instellingen heten op je HTC, met een groen Google logo erbij. Daar kan je er bij :) Mooi relaas trouwens, wat er nog aan toegevoegd kan worden: het gros van de mensen, en kinderen, installeren gewoon vanuit de Play Store... Die zoeken niet op internet naar apps. Misschien een enkeling die een betaalde game gratis wil, maar dan ben je sowieso kwetsbaar.
Denk dat je je daar nog goed in kunt vergissen hoeveel mensen wel buiten de play store installeren.
Punt 1 omdat het veel makkelijk is en je geen creditcard etc. nodig hebt.
Punt 2 omdat het ook nog eens gratis is.

Die mensen kijken enkel en alleen naar de voordelen..die snappen niet dat er nog vrij veel nadelen aan kunnen zitten.
Beetje simpel gedacht misschien maar hoe moeilijk is het om een app te maken die bijv. SHA1 hashes van .apk bestanden kan maken? Zolang je die dan op de site van de bona fide versie publiceert kunnen mensen met een zeer geringe inspanning verifiŽren of hun versie de originele is of niet.
Probleem is dat mensen te super lui zijn om het te checken. Cant cure idiots.
Heeft niks met idiots te maken. Waarom zou een doorsnee gebruiker bijna op bitniveau moeten controleren of iets goed is. Dat zijn nu typisch zaken die je als leverancier moet regelen voor de gebruikers.
Oneens. Dan download je maar uit de Play Store. Wil je je apk uit onbekende bron downloaden, zorg dan zelf voor controle bovenop de patch van Google. Al houdt dat sommige virussen nog niet tegen. Het is niet aan de fabrikant om jou te helpen als je kiest om onveilige installaties in te schakelen.
Ik denk dat alleen idiots handmatig sha1 hashes gaan controleren van APK's.

Handiger is om dit te automatiseren, dat noemen we vervolgens een alternatieve app store. Als je handmatig APK's gaat downloaden dan neem je gewoon een risico.

Ik kan ook weinig redenen bedenken waarom een app niet gewoon in een van de bekende app stores zou staan, behalve dat het om gepirate versies gaat van betaalde software.
Ik denk dat alleen idiots handmatig sha1 hashes gaan controleren van APK's.

Handiger is om dit te automatiseren, dat noemen we vervolgens een alternatieve app store. Als je handmatig APK's gaat downloaden dan neem je gewoon een risico.
Dat is een voor de hand liggende tweede stap natuurlijk waar ik ook al aan gedacht had maar waar ook weer problemen aan vast zitten omdat 'ergens' de link naar die SHA1 vandaan moet komen. Haal je die dan ook uit de .apk? Dan stop je in de foute .apk dus gewoon een link naar een even foute SHA1.

Het gaat vooral om .apk's die uit een andere bron komen dan de oorspronkelijke. In het onderhavige geval apps die waarschijnlijk niet commercieel waren maar in de gezondheidszorg gebruikt worden. Niet een sector waar bij mensen meteen alarmbellen gaan rinkelen. Bij gratis apps speelt het aspect van piraterij ook niet echt.

Met een SHA1 op de 'originele' site en een app om die te genereren heb je in elk geval bij twijfel een mogelijkheid om jouw versie op echtheid te checken. Iets is beter dan niets.
Je zal een beveiligde/verbouwde verbinding met de App Store moeten hebben. Doorgaans op basis van een beveiligingscertificaat. Als je die verbinding eenmaal hebt, kun je daar gewoon de sha1 hashes overheen sturen, vanaf de app store server dus.
De bona fide versies van apps worden gewoon via de Play Store aangeleverd, over het algemeen niet via een website van een bedrijf of organisatie. Dat zou dus geen problemen moeten opleveren.

De enige reden dat je last zou kunnen krijgen van deze bug is als je zelf .apk's downloadt en installeert, en ik zou durven zeggen dat het gros van deze .apk's niet helemaal 'legaal' zijn. Dan weet je dat je een risico kunt lopen.

Ook open source appjes en zelf in elkaar geknutseld gaan bijna allemaal via de Play Store, dus het is vrijwel nooit noodzakelijk om een .apk te downloaden en handmatig op je apparaat te zetten.
ik kreeg gisteren opeens twee berichtjes dat betaalde smsjes geblokkeerd zijn, zou het ergens anders ook verstopt zitten?
Geen idee... heb je .apk's handmatig gedownload de laatste tijd?
download een antivirus voor je gsm en scan uw gsm is hierbijgevoegt vind je een link voor kaspersky (http://www.kaspersky.com/.../trials/kms-trial-android)
_/-\o_
Al die virusscanners zijn eigenlijk nutteloos.

Zo'n virusscanner heeft dezelfde rechten als elka andere app. Het enige dat deze kan doen is jouw sdcard wat afscannen en eens piepen in de lijst van apps die geinstalleerd staan.
Het jammere voor de mensen in China is dat hoogstwaarschijnlijk een groot aandeel van de gebruikers geen toegang heeft tot de Google Services, en dus ook niet tot de automatische scanner.
Maar het lijkt me nou niet dat dat de schuld van Google is... Maar zover ik weet zijn er momenteel toch geen door de overheid ingestelde blokkades op Google producten, de blokkades zijn namelijk toch telkens achteraf ongedaan gemaakt?
Wel schuld van Google, maar evenveel van de fabrikant: veel android phones in China zijn niet gecertifieerd door google, oa om de prijs te drukken, of door te lage kwaliteit hardware.
Dit zorgt ervoor dat die gebruikers nooit een Google Play Store op hun phone krijgen, waardoor ze wel moeten werken met alternatieve stores of de APK rechtstreeks van een site moeten halen.
Voorbeeld: Dus als iemand een alternatieve versie dan Microsoft Office koopt omdat ze onvoldoende geld hebben of het origineel niet willen en vervolgens gehackt wordt omdat ze geen updates van Microsoft krijgen is dit hun schuld ? Je hebt als consument nog altijd de keus om langer door te sparen, of om de risico's te accepteren. En natuurlijk kun je een telefoon nier vergelijken meteen office pakket. Maar het gaat in dit geval wel om een stukje software op de telefoon en er is bewust of onbewust gekozen voor een telefoon zonder toegang tot de Playstore.
Helemaal mee eens, wel een kleine opmerking; als je een Office pakket koopt op, laten we zeggen, een zwarte markt dan weet je dondersgoed dat je niet correct bezig bent. Bij veel mensen is een Officepakket gelijk aan Microsoft. Sterker, Microsoft heeft het zo goed voor elkaar dat mensen er naar gaan vragen als je bijvoorbeeld LibreOffice installeert, want, niet Microsoft.

Android telefoons daarentegen heb je in allerlei soorten en maten, voor een normale consument is het allemaal hetzelfde, die kijkt over het algemeen niet of het wel een Google gecertificeerde fabrikant is. Sterker nog, van alle mensen die in mijn omgeving een niet gecertificeerde telefoon hadden (stuk of 15-20) heeft er maar 1 bewust die keus gemaakt, de rest is allemaal al over op een andere telefoon.

Wat ik dan wel weer apart vind is dat die mensen nu bijna zonder uitzondering een iPhone hebben gekocht, want "dat werkt out-of-the-box altijd goed", kosten zijn dan ineens niet belangrijk meer, maar ow-wee als een Android telefoon meer dan 200 euro kost.
Oh ja, apart:
Op Nexus 7 had ik binnen Google Instellingen deze optie aangevinkt maar nu vind ik de hele optie niet meer in dat menu. ??
Draai laatste versie stock.

Op telefoon met custom rom heb ik wel nog die optie om aan en uit te vinken beschikbaar
.

Ahem, als je bij instellingen menu een vinkje hebt bij toestaan om te installeren uit onbekende bronnen laat de App Google Instellingen de optie zien. Heb je dat vinkje uitstaan krijg je de optie niet te zien.

[Reactie gewijzigd door horizon1978 op 25 juli 2013 10:24]

Had saurik niet pas iets uitgebracht voor dit? De iOS jailbreakmaker is nu ook opeens met Android in de weer.
Toch leuk dat ieder AV bedrijf weer even z'n eigen zegje moet doen hehe.
(word al een paar dagen door allerlei bedrijven 'gevonden', op andere blogs ja)

En (zoals het artikel ook al aangeeft) de fix is al een paar weken voor handen, en (iig voor 4.x) als OTA upgrade gepusht, en wederom komt het neer op installeren van onveilige bronnen & klooien met developer opties.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Assassin's Creed UnityFIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBDesktops

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013