Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Eerste kwaadaardige app in Ubuntu Phone Store - update

Het is iemand gelukt een app in de Ubuntu Phone-store te zetten die het splash-bootscherm van een Meizu-telefoon aan kon passen, iets wat niet mogelijk zou moeten zijn. Toch wist de app langs het automatische testsysteem te komen. De app is inmiddels verwijderd.

Dat schrijft Softpedia naar aanleiding van een melding van een van zijn lezers. De applicatie met de naam 'test' kon het splash-bootscherm wijzigen, iets wat niet zou mogen. Of de applicatie iets anders dan dat deed, is nog niet duidelijk. De ontwikkelaars van Ubuntu hebben de applicatie inmiddels verwijderd en iedereen die het mogelijk kwaadaardige programma installeerde, heeft een e-mail ontvangen waarin aangegeven wordt dat de applicatie 'test' gebouwd door 'developer mmrow, version 0.1' mogelijk schadelijk is. De applicatie werkt alleen op apparaten die gebruik maken van een armhf-processor.

Het aantal installaties van de app bedraagt 'slechts een handvol' en de reactie van het Ubuntu-team was snel. In een reactie van community manager David Planella aan Softpedia staat dat na de analyse van de app geen andere mogelijk kwaadaardige programma's zich in de Ubuntu Store bevinden. Een Ubuntu Phone-gebruiker maakte een video van wat er gebeurt als de app geïnstalleerd wordt.

Update 17:54: Een uitgebreide beschrijving van de kern van de zaak is door de Ubuntu-ontwikkelaars vrijgegeven. Het blijkt dat de 'test' app na activeren een voorheen onbekende bug misbruikte in het applicatieinstallatiesysteem. Na het klikken op de 'Tap me'-knop in de app, werd een script gestart dat het splash-bootscherm kon aanpassen, waarna de kwaadwillende root-toegang verkreeg. De bug bestaat alleen bij Ubuntu Phones. Desktop, server, cloud en snappy core-apparaten zijn niet getroffen.

In verband met de bug werd de Ubuntu Phone Store op 15 oktober tijdelijk gesloten tussen 2:50 en 7:23 uur onze tijd. In totaal installeerden slechts vijftien gebruikers de app. De gebruikte exploit had op twee verschillende plaatsen gedetecteerd moeten worden tijdens het automatische controle-proces. Beide onderdelen krijgen snel updates en deze zullen spoedig via een ota naar Ubuntu Phones worden gepusht. In principe worden apps die niet aan bepaalde eisen voldoen, niet automatisch doorgelaten. Deze worden normaal eerst door mensen gecontroleerd.

Door Krijn Soeteman

Freelanceredacteur

15-10-2015 • 17:37

26 Linkedin Google+

Submitter: Simyager


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True