Ontwikkelaars komen met software om veiligheid Android-apps te testen

Ontwikkelaars van de socialenetwerksite LinkedIn hebben een eerste testversie van een analysetooltje vrijgegeven waarmee de beveiliging van een Android-app kan worden getest. De software biedt bovendien een omschrijving met de mogelijke gevaren van de kwetsbaarheden.

LinkedIn noemt de tool QARK en biedt de software aan onder opensourcelicentie. Met QARK kunnen ontwikkelaars kwetsbaarheden vinden in Java-applicaties voor Android, zoals zwakke versleuteling of private keys die in de broncode zijn te vinden. Ze krijgen bij gevonden gevaren een omschrijving te zien wat er mis is. Bovendien schotelt QARK bronnen voor waar is te lezen wat eraan gedaan kan worden.

Om te controleren of de kwetsbaarheden ook daadwerkelijk te misbruiken zijn, genereert QARK adb-commando's die daarvoor te gebruiken zijn. Mede daardoor creëert het tooltje feitelijk een testapplicatie waarmee beveiligingslekken in de Android-app zijn aan te tonen, zo schrijft beveiligingsonderzoeker Tony Trummer van LinkedIn.

Ondanks het automatiseren van het vinden van kwetsbaarheden, raadt Trummer organisaties aan altijd nog handmatige security audits uit te voeren. Volgens hem zijn er namelijk altijd onontdekte kwetsbaarheden die wel misbruikt kunnen worden. Daarnaast moeten serverside-api's nog worden onderzocht en is, hoe logisch ook, 'geen enkele tool perfect'.

De LinkedIn-ontwikkelaars zeggen de komende tijd flink aan QARK te sleutelen. Ze willen onder meer het aantal false positives en false negatives terugbrengen. Daarnaast willen ze het tooltje ook testprogramma's die QARK genereert, automatisch laten testen op kwetsbaarheden. Ten slotte werken ze aan ondersteuning voor Windows, aangezien QARK voorlopig alleen op Mac en Linux draait.

Door Yoeri Nijs

Nieuwsposter

Feedback • 22-08-2015 12:3426

22-08-2015 • 12:34

26 Linkedin

Lees meer

Google: lek in Linux-kernel betreft geen 66 procent van Android-toestellen Nieuws van 21 januari 2016
Verzekeraar a.s.r. introduceert app die smartphone blokkeert tijdens rijden Nieuws van 2 september 2015
Fabrikanten hoeven minder Google-apps mee te leveren met Android-smartphones Nieuws van 21 augustus 2015
Gratis licenties van Android-beveiligingsapp Cerberus verlopen alsnog Nieuws van 21 augustus 2015
Beveiligingsbedrijf ontdekt nieuw beveiligingsprobleem in mediaserver Android Nieuws van 17 augustus 2015
Beveiligingsbedrijf: Android-patch beschermt niet tegen Stagefright-bug Nieuws van 13 augustus 2015
Android-lek laat malafide apps toestel volledig overnemen Nieuws van 11 augustus 2015
Trend Micro: bug kan Android-smartphones eindeloos laten rebooten Nieuws van 4 augustus 2015
Meer producten en artikelen
Beveiliging en antivirus Software development Linkedin

Reacties (26)

-Moderatie-faq
26
26
18
1
0
0
Wijzig sortering
Pyrone89
22 augustus 2015 13:01
Waarom steekt LinkedIn hier geld in?

Als ik bij een autodealer zou werken en tijd ga besteden aan het verbeteren van de veiligheid van brommers komt de baas ook vragen waar ik in hemelsnaam mee bezig ben/
Niekfct
@Pyrone8922 augustus 2015 14:21
Uit het aangehaalde artikel:
QARK was developed as part of our internal “HackDay” events, when employees take the day to work on anything they want. This is part of the reason you will find that QARK attempts to review applications in a manner meant to emulate the human review process, more so than a rigorous scientific approach.
Indir
@Pyrone8922 augustus 2015 13:05
Het kan zijn dat ze een applicatie hebben ontwikkeld voor het nagaan van hun eigen beveiliging; dus ook het verbeteren van de eigen LinkedIn app. En later besloten dit opensource te maken zodat iedereen er baat bij heeft.

En vooral nu er zoveel nieuws omtrent Android is met zijn beveiligingsproblemen. Lijkt het mij waarschijnlijk dat zij proberen hier een graantje van mee te pikken, door zich als bedrijf te profileren wat zich inzet voor de beveiliging van de online community middels opensource.

Het leuke aan opensource is natuurlijk ook dat anderen er aan kunnen werken en de tool kunnen verbeteren en uitbreiden. Dus een win-win scenario voor LinkedIn in het algemeen.

[Reactie gewijzigd door Indir op 22 augustus 2015 13:20]

Pyrone89
@Indir22 augustus 2015 13:12
Dit maakt het wat logischer ja.
zarex
@Pyrone8922 augustus 2015 21:58
Het gebeurt vaker dat in-house tools openbaar gemaakt worden. Neem bijvoorbeeld de source filmmaker van Valve. Die bestaat al een aardige tijd, maar is pas in 2012 aan het publiek vrijgegeven.
lrietveld
@zarex23 augustus 2015 14:56
Open source development wordt vaker gedaan bij LinkedIn. Zo bestaat er DataFu (http://data.linkedin.com/opensource/datafu), een open source verzameling van UDFs (user defined functions) voor Apache Pig (een dataflow taal voor hadoop,)
Anoniem: 604167
@Pyrone8922 augustus 2015 13:10
LinkedIn heeft zelf een Android app welke ze zo veilig mogelijk willen hebben. Er word namelijk een hele hoop persoonlijke data door de app verwerkt. Ook kunnen andere apps weer bij deze data via api's. Vaak een probleem, de keys, zie ook het artikel. Deze vormen ook weer een bron van onveiligheid en hier wilt LinkedIn uiteraard vanaf.

Dat ze het OSS maken is alleen maar mooi, kunnen bedrijven als Google de tools verbeteren, LinkedIn word er nooit slechter van. Het geld moest voor de beveiliging van hun app toch al geïnvesteerd worden.
skatebiker
@Anoniem: 60416723 augustus 2015 18:13
Wat biedt deze Android app ? Ze hebben toch een website waar je alles mee kunt doen, ook vanaf een Android apparaat waar je tig browsers kunt draaien ?
Dat geldt veer veel bedrijven overigens een aparte app die vaak nog minder functionaliteit biedt dan de website.
Lagonas
@skatebiker24 augustus 2015 11:04
Facebook heeft ook een website. Waarom hebben ze een app?
Snap je me punt?

Ze hebben een app omdat mensen dit veel vaker gebruiken dan de website.
Ik vind de app van Linkedin overigens perfect werken.
hyriand
@Pyrone8922 augustus 2015 13:27
Aangezien LinkedIn APIs biedt waar derde partijen gebruik van kunnen maken en de relatieve gevoeligheid van de data op LinkedIn kan ik me voorstellen dat ze gebruikers van hun APIs gaan aansporen (of verplichten) deze tool te gebruiken. Vanuit dat perspectief is er wel degelijk een verband te leggen tussen de core business van LinkedIn en deze tool.
Tweakez
@Pyrone8922 augustus 2015 14:01
Google released toch ook zijn zelf ontwikkelde programmeertaal go.
Facebook zijn eigen versie van php
twitter hun responsive gebeuren "Twitter Bootstrap"..

nog veeeeeel meer van dit soort voorbeelden lol
Anoniem: 382732
@Pyrone8923 augustus 2015 19:18
Dit doen zoveel bedrijven: tools die ze voor intern gebruik hebben ontwikeld vrij geven aan derden.
EvilItSelf
@Pyrone8922 augustus 2015 17:22
Rare baas heb jij. Die van mij zou denken, misschien kan ik daar ook geld mee verdienen en dan heb ik een gelukkigere werknemer.
pwghost
@EvilItSelf22 augustus 2015 19:56
inderdaad :)
Pyrone89
@EvilItSelf22 augustus 2015 22:17
Realiteit is in de praktijk voor Jan Modaal en mensen in conventionele sectoren (ongeacht functieniveau) anders, tenzij je het in je eigen tijd doet natuurlijk.

Ik heb liever ook een baas die dit soort dingen wel snapt
Anoniem: 300525
@Pyrone8923 augustus 2015 01:05
De analogie gaat daarom ook niet helemaal op. Het gaat in het artikel strikt om "de makers" zelf van de applikatie van Linkin. Jouw baas maakt zelf de brommers niet. Dan ontstaat waarschijnlijk ook veel minder snel de behoefte andermans (ingekochte) brommers aan te passen.
Ruw ER
22 augustus 2015 12:41
Hier zou ik echt wel voor willen betalen. Heb de unibet app bijvoorbeeld via hun site moeten downloaden, omdat deze niet in de play store te vinden is. Geen idee hoe veilig die is, ik vertrouw het bedrijf maar.
P1nGu1n
@Ruw ER22 augustus 2015 12:47
Volgens mij is dit voor de ontwikkelaar om te testen hoe veilig zijn app is, niet voor een gebruiker om te testen of een app kwaadaardig is.
blorf
@P1nGu1n22 augustus 2015 12:53
Vandaar die waarschuwing op github dat het programma een app decompileert wat mogelijk niet legaal is?

Ik zie hier wel potentie in. Ze gaan het o.a. herschrijven voor beter uitbreidbaarheid. Dit kan uitgroeien tot een goed all-round beveiligingspakket.
Anoniem: 16328
@Ruw ER22 augustus 2015 13:56
Het downloaden van apps direct van de website van een aanbieder is niet per se onveiliger. Het zal wel iets te maken hebben met gokken dat je een app niet aan Nederlanders mag aanbieden in de Play Store. Je moet jezelf altijd de vraag stellen of je de aanbieder vertrouwt, zelfs als de app wordt aangeboden in de Play Store. Qua privacy is het nuttig om te kijken naar de permissies die de app verlangt.
Anoniem: 16328
22 augustus 2015 13:45
Lijkt me een nuttige tool voor elke ontwikkelaar, tenminste als je in Java op Android ontwikkelt :). Het is gratis en makkelijk te gebruiken. Hiernaast wordt geadviseerd om handmatige security audits te doen, maar zelfs al zou je dat niet doen dan ben je al een stuk verder met deze tool dan zonder. Op de Github vind je een lijst op welke beveiligingsaspecten wordt gecontroleerd.
Included in the types of security vulnerabilities this tool attempts to find are:

Inadvertently exported components
Improperly protected exported components
Intents which are vulnerable to interception or eavesdropping
Improper x.509 certificate validation
Creation of world-readable or world-writeable files
Activities which may leak data
The use of Sticky Intents
Insecurely created Pending Intents
Sending of insecure Broadcast Intents
Private keys embedded in the source
Weak or improper cryptography use
Potentially exploitable WebView configurations
Exported Preference Activities
Tapjacking
Apps which enable backups
Apps which are debuggable
Apps supporting outdated API versions, with known vulnerabilities

bron: https://github.com/linkedin/qark

[Reactie gewijzigd door Anoniem: 16328 op 22 augustus 2015 13:46]

ultimasnake
23 augustus 2015 00:53
Mooi zulke tools, heeft men hier toevallig advies voor het (intern) testen van PHP op veiligheid? Sommige tools zijn online maar test liever als eerst intern de programmatuur ipv een server omver te trekken ...
Vexxon
22 augustus 2015 17:25
Wel frappant dat een dergelijke tool niet van Google komt.
Vetsmelter
@Vexxon23 augustus 2015 08:36
die tool komt eigenlijk wel van Google, want Linkedin is van Google - edit , sorry dit is niet waar, juist een idee van een blogger.

https://www.linkedin.com/...nkedin-acquired-by-google

Onlangs, enkele maanden terug heb ik 2 emails uitgewisseld met een persoon op een online verkoopswebsite.
De correspondent had een gmail.com adres.

Resultaat:

-een maand later krijg ik een uitnodiging van Linedin:
-foto van persoon, functie (ICT ingenieur) naam en familienaam etc...
-ik vraag me af van waar ken ik die en zoek in mijn mailbox
-conclusie: gmail harvest de resultaten van gmail conversaties en speelt die door naar Linkedin
-ik heb de persoon hiervan op de hoogte gesteld, die heeft me bedankt
-ondanks de ICT achtergrond van de correspondent heb ik tot dusver nog 2 andere invites van hem gekregen.

Vertrouw ik bedrijven die zich bezig houden met dergelijke agressieve data -mining en -marketing praktijkten om in de staan voor mijn "app-security"

Niet echt. Ik denk dat hun definitie van security te zeer verschilt van de mijne.

[Reactie gewijzigd door Vetsmelter op 23 augustus 2015 09:10]

Anoniem: 382732
@Vetsmelter23 augustus 2015 19:22
Je gebruikt Google services en 1 van de (bekende) gevolgen daarvan is dat Google de informatie analyseert en doorverkoopt. Dat is hun business model....

Het heeft ook totaal niets met security te maken.
Vetsmelter
@Anoniem: 38273224 augustus 2015 12:36
Boedel je dat ik Google services gebruik op het moment dat ik antwoord op een gmail.com adres? In principe wel maar al wat ik doe is een conversatie email adres bevestigen.
Stel dat ik geen gebruik wil maken van Google services, wie kan je dan nog antwoorden? Sommige mensen forwarden hun hele digitale hebben en houwen naar Google services op de achtergrond, zonder uw medeweten.
En de correspondent weet ook van niks - waarschijnlijk ergens een obscure setting in zijn Linkedin app of settings pagina die moet uitgezet worden (sync Google contacts..) om die gegevensdeling te voorkomen.
Maar wie doet dat?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee