Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties

Ontwikkelaars van de socialenetwerksite LinkedIn hebben een eerste testversie van een analysetooltje vrijgegeven waarmee de beveiliging van een Android-app kan worden getest. De software biedt bovendien een omschrijving met de mogelijke gevaren van de kwetsbaarheden.

LinkedIn noemt de tool QARK en biedt de software aan onder opensourcelicentie. Met QARK kunnen ontwikkelaars kwetsbaarheden vinden in Java-applicaties voor Android, zoals zwakke versleuteling of private keys die in de broncode zijn te vinden. Ze krijgen bij gevonden gevaren een omschrijving te zien wat er mis is. Bovendien schotelt QARK bronnen voor waar is te lezen wat eraan gedaan kan worden.

Om te controleren of de kwetsbaarheden ook daadwerkelijk te misbruiken zijn, genereert QARK adb-commando's die daarvoor te gebruiken zijn. Mede daardoor creëert het tooltje feitelijk een testapplicatie waarmee beveiligingslekken in de Android-app zijn aan te tonen, zo schrijft beveiligingsonderzoeker Tony Trummer van LinkedIn.

Ondanks het automatiseren van het vinden van kwetsbaarheden, raadt Trummer organisaties aan altijd nog handmatige security audits uit te voeren. Volgens hem zijn er namelijk altijd onontdekte kwetsbaarheden die wel misbruikt kunnen worden. Daarnaast moeten serverside-api's nog worden onderzocht en is, hoe logisch ook, 'geen enkele tool perfect'.

De LinkedIn-ontwikkelaars zeggen de komende tijd flink aan QARK te sleutelen. Ze willen onder meer het aantal false positives en false negatives terugbrengen. Daarnaast willen ze het tooltje ook testprogramma's die QARK genereert, automatisch laten testen op kwetsbaarheden. Ten slotte werken ze aan ondersteuning voor Windows, aangezien QARK voorlopig alleen op Mac en Linux draait.

Moderatie-faq Wijzig weergave

Reacties (26)

Waarom steekt LinkedIn hier geld in?

Als ik bij een autodealer zou werken en tijd ga besteden aan het verbeteren van de veiligheid van brommers komt de baas ook vragen waar ik in hemelsnaam mee bezig ben/
Uit het aangehaalde artikel:
QARK was developed as part of our internal “HackDay” events, when employees take the day to work on anything they want. This is part of the reason you will find that QARK attempts to review applications in a manner meant to emulate the human review process, more so than a rigorous scientific approach.
Het kan zijn dat ze een applicatie hebben ontwikkeld voor het nagaan van hun eigen beveiliging; dus ook het verbeteren van de eigen LinkedIn app. En later besloten dit opensource te maken zodat iedereen er baat bij heeft.

En vooral nu er zoveel nieuws omtrent Android is met zijn beveiligingsproblemen. Lijkt het mij waarschijnlijk dat zij proberen hier een graantje van mee te pikken, door zich als bedrijf te profileren wat zich inzet voor de beveiliging van de online community middels opensource.

Het leuke aan opensource is natuurlijk ook dat anderen er aan kunnen werken en de tool kunnen verbeteren en uitbreiden. Dus een win-win scenario voor LinkedIn in het algemeen.

[Reactie gewijzigd door Indir op 22 augustus 2015 13:20]

Dit maakt het wat logischer ja.
Het gebeurt vaker dat in-house tools openbaar gemaakt worden. Neem bijvoorbeeld de source filmmaker van Valve. Die bestaat al een aardige tijd, maar is pas in 2012 aan het publiek vrijgegeven.
Open source development wordt vaker gedaan bij LinkedIn. Zo bestaat er DataFu (http://data.linkedin.com/opensource/datafu), een open source verzameling van UDFs (user defined functions) voor Apache Pig (een dataflow taal voor hadoop,)
LinkedIn heeft zelf een Android app welke ze zo veilig mogelijk willen hebben. Er word namelijk een hele hoop persoonlijke data door de app verwerkt. Ook kunnen andere apps weer bij deze data via api's. Vaak een probleem, de keys, zie ook het artikel. Deze vormen ook weer een bron van onveiligheid en hier wilt LinkedIn uiteraard vanaf.

Dat ze het OSS maken is alleen maar mooi, kunnen bedrijven als Google de tools verbeteren, LinkedIn word er nooit slechter van. Het geld moest voor de beveiliging van hun app toch al ge´nvesteerd worden.
Wat biedt deze Android app ? Ze hebben toch een website waar je alles mee kunt doen, ook vanaf een Android apparaat waar je tig browsers kunt draaien ?
Dat geldt veer veel bedrijven overigens een aparte app die vaak nog minder functionaliteit biedt dan de website.
Facebook heeft ook een website. Waarom hebben ze een app?
Snap je me punt?

Ze hebben een app omdat mensen dit veel vaker gebruiken dan de website.
Ik vind de app van Linkedin overigens perfect werken.
Aangezien LinkedIn APIs biedt waar derde partijen gebruik van kunnen maken en de relatieve gevoeligheid van de data op LinkedIn kan ik me voorstellen dat ze gebruikers van hun APIs gaan aansporen (of verplichten) deze tool te gebruiken. Vanuit dat perspectief is er wel degelijk een verband te leggen tussen de core business van LinkedIn en deze tool.
Google released toch ook zijn zelf ontwikkelde programmeertaal go.
Facebook zijn eigen versie van php
twitter hun responsive gebeuren "Twitter Bootstrap"..

nog veeeeeel meer van dit soort voorbeelden lol
Dit doen zoveel bedrijven: tools die ze voor intern gebruik hebben ontwikeld vrij geven aan derden.
Rare baas heb jij. Die van mij zou denken, misschien kan ik daar ook geld mee verdienen en dan heb ik een gelukkigere werknemer.
Realiteit is in de praktijk voor Jan Modaal en mensen in conventionele sectoren (ongeacht functieniveau) anders, tenzij je het in je eigen tijd doet natuurlijk.

Ik heb liever ook een baas die dit soort dingen wel snapt
De analogie gaat daarom ook niet helemaal op. Het gaat in het artikel strikt om "de makers" zelf van de applikatie van Linkin. Jouw baas maakt zelf de brommers niet. Dan ontstaat waarschijnlijk ook veel minder snel de behoefte andermans (ingekochte) brommers aan te passen.
Hier zou ik echt wel voor willen betalen. Heb de unibet app bijvoorbeeld via hun site moeten downloaden, omdat deze niet in de play store te vinden is. Geen idee hoe veilig die is, ik vertrouw het bedrijf maar.
Volgens mij is dit voor de ontwikkelaar om te testen hoe veilig zijn app is, niet voor een gebruiker om te testen of een app kwaadaardig is.
Vandaar die waarschuwing op github dat het programma een app decompileert wat mogelijk niet legaal is?

Ik zie hier wel potentie in. Ze gaan het o.a. herschrijven voor beter uitbreidbaarheid. Dit kan uitgroeien tot een goed all-round beveiligingspakket.
Het downloaden van apps direct van de website van een aanbieder is niet per se onveiliger. Het zal wel iets te maken hebben met gokken dat je een app niet aan Nederlanders mag aanbieden in de Play Store. Je moet jezelf altijd de vraag stellen of je de aanbieder vertrouwt, zelfs als de app wordt aangeboden in de Play Store. Qua privacy is het nuttig om te kijken naar de permissies die de app verlangt.
Lijkt me een nuttige tool voor elke ontwikkelaar, tenminste als je in Java op Android ontwikkelt :). Het is gratis en makkelijk te gebruiken. Hiernaast wordt geadviseerd om handmatige security audits te doen, maar zelfs al zou je dat niet doen dan ben je al een stuk verder met deze tool dan zonder. Op de Github vind je een lijst op welke beveiligingsaspecten wordt gecontroleerd.
Included in the types of security vulnerabilities this tool attempts to find are:

Inadvertently exported components
Improperly protected exported components
Intents which are vulnerable to interception or eavesdropping
Improper x.509 certificate validation
Creation of world-readable or world-writeable files
Activities which may leak data
The use of Sticky Intents
Insecurely created Pending Intents
Sending of insecure Broadcast Intents
Private keys embedded in the source
Weak or improper cryptography use
Potentially exploitable WebView configurations
Exported Preference Activities
Tapjacking
Apps which enable backups
Apps which are debuggable
Apps supporting outdated API versions, with known vulnerabilities

bron: https://github.com/linkedin/qark

[Reactie gewijzigd door ChicaneBT op 22 augustus 2015 13:46]

Mooi zulke tools, heeft men hier toevallig advies voor het (intern) testen van PHP op veiligheid? Sommige tools zijn online maar test liever als eerst intern de programmatuur ipv een server omver te trekken ...
Wel frappant dat een dergelijke tool niet van Google komt.
die tool komt eigenlijk wel van Google, want Linkedin is van Google - edit , sorry dit is niet waar, juist een idee van een blogger.

https://www.linkedin.com/...nkedin-acquired-by-google

Onlangs, enkele maanden terug heb ik 2 emails uitgewisseld met een persoon op een online verkoopswebsite.
De correspondent had een gmail.com adres.

Resultaat:

-een maand later krijg ik een uitnodiging van Linedin:
-foto van persoon, functie (ICT ingenieur) naam en familienaam etc...
-ik vraag me af van waar ken ik die en zoek in mijn mailbox
-conclusie: gmail harvest de resultaten van gmail conversaties en speelt die door naar Linkedin
-ik heb de persoon hiervan op de hoogte gesteld, die heeft me bedankt
-ondanks de ICT achtergrond van de correspondent heb ik tot dusver nog 2 andere invites van hem gekregen.

Vertrouw ik bedrijven die zich bezig houden met dergelijke agressieve data -mining en -marketing praktijkten om in de staan voor mijn "app-security"

Niet echt. Ik denk dat hun definitie van security te zeer verschilt van de mijne.

[Reactie gewijzigd door Vetsmelter op 23 augustus 2015 09:10]

Je gebruikt Google services en 1 van de (bekende) gevolgen daarvan is dat Google de informatie analyseert en doorverkoopt. Dat is hun business model....

Het heeft ook totaal niets met security te maken.
Boedel je dat ik Google services gebruik op het moment dat ik antwoord op een gmail.com adres? In principe wel maar al wat ik doe is een conversatie email adres bevestigen.
Stel dat ik geen gebruik wil maken van Google services, wie kan je dan nog antwoorden? Sommige mensen forwarden hun hele digitale hebben en houwen naar Google services op de achtergrond, zonder uw medeweten.
En de correspondent weet ook van niks - waarschijnlijk ergens een obscure setting in zijn Linkedin app of settings pagina die moet uitgezet worden (sync Google contacts..) om die gegevensdeling te voorkomen.
Maar wie doet dat?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True