Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties
Submitter: thefal

Google Now on Tap maakt het omzeilen van de screenshotbeveiliging van onder meer Snapchat en Telegram mogelijk. Daardoor kunnen gebruikers een screenshot maken, terwijl ontwikkelaars dat juist proberen te voorkomen. De ING-app heeft daar geen last van.

Een screenshot maken via de toetscombinatie Aan/Uit en Volume Omlaag werkt in Snapchat en in versleutelde chats in Telegram niet, maar wie in Android 6.0 Now on Tap activeert via het lang indrukken van de Home-knop, krijgt de optie om het screenshot te delen, ontdekte Reddit-gebruiker iCapa.

Daarmee is het mogelijk om versleutelde gesprekken en foto's die Snapchat verwijdert toch op te slaan en te delen, terwijl dat niet zou moeten kunnen. De ING Mobiel Bankieren-app is niet kwetsbaar voor deze truc, zegt tweaker thefal. Dat komt doordat ING gebruikmaakt van de Flag_secure-optie, iets dat Google expliciet noemt als manier waarop Now on Tap geen screenshots kan maken.

Now on Tap is een functie die alleen werkt in Android 6.0 en hoger en is een manier om contextueel te zoeken in een app door lang de Home-knop in te drukken. Google probeert daarna relevante resultaten te zoeken. Google komt begin volgend jaar ook met Tap to Translate, een eerder aangekondigde functie om tekst te vertalen in alle apps door deze te selecteren en op de 'vertaal'-knop te drukken.

Moderatie-faq Wijzig weergave

Reacties (56)

Simpele conclusie: Snapchat en Telegram hebben hun zaakjes niet op orde, ING wel.
Blijkbaar heeft Android 2 manieren om te zeggen dat er geen screenshots gemaakt kunnen worden.

Simpele conclusie: de API van Google kan simpeler en daarmee minder foutgevoelig.
Telegram controleert of er een bestand wordt aangemaakt met screenshot in de naam: https://github.com/DrKLO/...MediaController.java#L811

Wordt dus geen API gebruikt :) Niks mis met de Google API, wel met hoe het geïmplementeerd is.
Oh lekker, dus Telegram zit permanent in mijn bestanden te wroeten?
nee hij controleert alleen de aanmaak van nieuwe bestandnamen die "screenshot" in de titel hebben tijdens encrypted chat, niet echt vergelijkbaar met bestanden doorzoeken.
Maar als je dan een bestand maakt met het woord screenshots in de filename gooit telegram dat gelijk weg? Je zou dan toch ook je software kunnen aanpassen en er voor zorgen dat als je screenshots maakt ze niet screenshot heten maar even een andere naam krijgen of een programma dat screenshots afhangt voordat telegram dat doet? Of is het iets ingewikkelder? Ik krijg iig het idee dat de manier van telegram totaal niet waterdicht is.
Je kan natuurlijk ook met een andere telefoon een foto maken van je scherm...
Niets is 100% dicht. Maar als 90% van de mensen niet een afbeelding kan maken dan is dat vaak prima. Ook een afweging van kosten.

Er vanuit gaan dat iedereen een afbeelding kan maken is de beste optie, denken dat niemand het kan is gewoon naïef.
Nee, ze letten op events voor het aanmaken van screenshots. Die worden systemwide rond gestuurd naar apps die ervoor luisteren (zoals gallery apps, die nieuwe foto's zo meteen kan toevoegen zonder er zelf naar te zoeken).

Nu ja, als jij dat 'wroeten' wil noemen...
Nu ja, als jij dat 'wroeten' wil noemen...
Iets met klok en klepel ... de bekende rode lap op een stier ( in dit geval telegram vs privacy )
Het gaat op basis van events, maar als ze al aan het wroeten zoudens zijn dan heeft de gebruiker daar bij installatie natuurlijk toestemming voor moeten geven (en dat doen de meeste gebruikers klakkeloos).
Beter gezegd: hoe de Android API helemaal niet gebruikt is en er een houtje-touwtje zelfbouwoplossing is gebouwd.
Is er überhaupt wel een functie voor in de Android API?
Of is het houtje-touwtje van ING gewoon beter geïmplementeerd?
Staat in het artikel!
Dat komt doordat ING gebruikmaakt van de Flag_secure-optie
Ah ok, overheen gelezen!
Maar de Flag_secure optie doet dus iets wat Snapchat (weet niet hoe het bij Telegram werkt) niet wil. Snapchat wil alleen de andere persoon een notificatie geven en niet het maken van screenshots blokkeren.
Als het detecteren van het maken van een screenshot niet mogelijk is dan moeten ze het wel houtje-touwtje doen.

[Reactie gewijzigd door Ereaser op 17 december 2015 16:41]

Volgens mij wil Snapchat juist wel een screenshot blokkeren toch? Anders is het hele principe van een foto sturen die verdwijnt na het lezen of timeout weg. Daarnaast willen ze dus een notificatie sturen naar de afzender dat de ontvanger probeerde een screenshot te nemen
Nee, je kunt gewoon screenshots maken bij snapchat. Alleen krijgt de verstuurder een melding binnen daarvan.
Nee, snapchat en telegram doen hun eigen ding (waarschijnlijk omdat ze die code al voor iOS hadden)
Op iOS is screenshot nemen niet geblokkeerd, je contactpersoon krijgt echter wel een melding wanneer iemand een screenshot maakt.
En daar is juist een detectie mechanisme voor nodig
pak er een fotocamera bij en je kan ook dat omzijlen, gewoon een foto maken van je telefoondisplay.
laten we eerlijk zijn, waar een wil is is een weg. echt 100% veilig is het nooit
Code voor iOS is niet te gebruiken voor Android.
Waar een wil is is een weg natuurlijk, ik kan "gewoon" een screenshot maken in de ING app.
Nou ja, misschien niet helemaal gewoon maar voor tweakers misschien wel.
Als je Xposed Framework gebruikt installeer dan even de module "DisableFlagSecure"
Nu kan het wel "gewoon" :*)

[Reactie gewijzigd door Gohan040 op 17 december 2015 14:04]

Geroote telefoon kan je natuurlijk niks op garanderen aangezien daar alles aangepast kan worden. (vandaar dat bepaalde apps ook weigeren om op geroote telefoons gezet te worden)
Wat bedoel je precies met "Geroote telefoon kan je natuurlijk niks op garanderen?"
Want de ING (en andere bankieren apps) werken gewoon naar behoren en doen geen root check blijkbaar. Ik gebruik zelf geen enkele app die dit doet overigens, wel weet ik dat er volgens mij een app van Ziggo was (misschien nu Horizon) die dit wel deed, maar ook daar kan je met (zoals njitter als zegt) dankzij Rootcloak de root check weer omzeilen.

[Reactie gewijzigd door Gohan040 op 17 december 2015 14:43]

Wat bedoel je precies met "Geroote telefoon kan je natuurlijk niks op garanderen?"
Want de ING (en andere bankieren apps) werken gewoon naar behoren en doen geen root check blijkbaar. Ik gebruik zelf geen enkele app die dit doet overigens, wel weet ik dat er volgens mij een app van Ziggo was (misschien nu Horizon) die dit wel deed, maar ook daar kan je met (zoals njitter als zegt) dankzij Rootcloak de root check weer omzeilen.
Horizon start op, maar zodra je de stream opengooit, sluit de app zich af.
Heeft te maken met de aanwezigheid van xposed en wat systeemmappen.
Met alleen root op mijn devices geen probleem, maar horizon icm xposed werkt helaas niet ( bij mij iig )
Met root werkt het hier prima en ik gebruik geen xposed momenteel. Dus het werkt wel.
Hij bedoelt volgens mij dat het omzeilen van beveiliging tegen het nemen van screenshots of het afdwingen van een melding daarover slechts een kwestie is van het opheffen van beperkende permissies van de gebruiker en/of bepaalde apps.

Maar is dit hele verhaal niet complete onzin? Wat zijn we hier precies aan het beveiligen tegen wie? Als we serieus de scherm-content willen beveiligen tegen misbruik zou dat in de basis van het OS moeten zitten. Voor apps en organisaties die screenshots willen hebben zou het gewoon pech gehad moeten zijn.
Yup, werkt prima. En installeer daarnaast ook nog Roatcloak om programma's te kunnen draaien die daar weer op checken :)
Even een zijstapje he. Jeetje wat ziet Telegram er blijkbaar ontzettend identiek uit als WhatsApp. Nou snap ik dat alle chatprogramma's iets met elkaar gemeen hebben, maar exact dezelfde type tekstballonnetjes, zelfde soort achtergrondjes, zelfde twee vinkjes, zelfde soort bovenbalk.

Ik snap dat Telegram meer features heeft maar het is verder een behoorlijk hoog plagiaat gehalte.
Gelukkig voor hun bestaat software plagiaat alleen in de US. En dan alleen als er ook patent op is. :)
Of je pakt een andere camera/telefoon en maakt een foto van de telefoon. Ik snap dat ze het maken van screenshots moeilijker willen maken, maar wie een screenshot wil maken doet dat toch wel. En als snapchat gaat adverteren met 'screenshots maken onmogelijk' geeft dat alleen maar een vals gevoel van veiligheid.
En meisjes van 16/17/18 e.a lezen niet verder dan DAT gevoel van veiligheid, en sturen hun vriendjes mooie plaatjes van zichzelf.
Om vervolgens een tijdje naderhand op imgur terecht te komen in /r/snapchat ... :|

Fijn, zulke apps, maar als je het over veiligheid en privacy hebt, zijn dat niet DE methodes.
Grote kans dat ze alleen de gebruikelijke toetscombinatie(s) onderscheppen en niet het screenshot maken zelf. Iets waar gelukkig ING wel over na heeft gedacht ;)
Toch vond ik het af en toe best handig om van een overmaking een screenshot te maken.
Die stuurde ik door (via mail/messenger/whatsapp) als een soort van bewijs dat het geld onderweg was.
Ik kan al eeuwen snapchat screenshots maken. De betreffende persoon krijgt hier wel een melding van.
Aan de andere kant je kan altijd met een 2de toestel een fotomaken van het scherm van eerste toestel. Dus als iemand een screenshot wilt maken kan dat altijd 'weliswaar ouderwets :)'

Dus screenshot beveiliging vind ik persoonlijk altijd een schijnveiligheid.
Het beveiligt tegen bepaalde zaken, namelijk een screenshot maken vanuit het toestel zelf. Zo is er ook een API waarmee screenshots kunnen worden gemaakt, je wilt niet dat een andere app zomaar screenshots kan maken van alles wat je doet. Nu kan dat theoretisch wel, maar in gevallen waar het écht niet wenselijk is, heb je dus een API die aan het systeem aangeeft dat screenshots niet mogen.

Wilt een of andere trojan jouw bankgegevens of bijvoorbeeld de pincode stelen terwijl je die invoert, moeten ze dus een extra laag van beveiliging breken.
Gelukkig is er nog geen trojan die een robot aanstuurt die achter je gaat staan om te filmen met een camera :+
Dan moet die trojan je toetsaanslagen 'kopieeren' want volgens mij bij alle bank apps zie je de code die je invoert niet.

Maar idd voor eventueel trojans e.d. wellicht handig.
Het on-screen toetsenbord geeft al feedback, een andere app kan dus door meekijken op het toetsenbord "zien" wat je typt in andere apps.

Zou logischer zijn om gewoon screenshots maken vanuit apps helemaal niet toe te staan.
Het is in snapchat wel degelijk mogelijk een screenshot te maken. Gewoon via Android met de volume en powerbutton. Echter krijgt de wederpartij een melding te zien dat er een screenshots is gemaakt.

Uiteraard kan je ook nog gewoon met een andere mobiel of camera een foto van je scherm maken ;)
Vanaf Android 5.0 kun je je scherm recorden, hiervan krijgt de gebruiker ook geen melding. geen idee in hoeverre dit al gepatched is, maar bij mijn ( redelijk recente ) versie van Snapchat werkt het :+
Dat had ik er ook ingezet toen ik het nieuws submitte. Normaal gesproken krijgt de andere partij een melding als jij een foto maakt van hun snap. Met deze nieuwe screenshotmethode wordt dat omzeild en krijgt de andere partij dus geen melding dat je een sceenshot van hun snap hebt gemaakt.
Snapchat moet dus gauw een update uitvoeren!
Straks blijkt het ook nog mogelijk dat je een foto van het scherm kunt maken...
Ik heb zojuist mijn telefoon er even bijgepakt en de ABN AMRO app lijkt net als de ING app ook niet kwetsbaar te zijn voor deze truc. ;)
Heb het zojuist zelf uitgeprobeerd bij de ING app en hij doet het indedaad niet (wist ik al) ,maar besloot om het scherm te filmen via Xblast voor Xposed en kreeg tijdens en na het gebruik van de ING app een zwart scherm.
Wat Snapchat betreft daar hebben we Snapprefs voor en de rest is gewoon een snapshot voldoende. :) :)
Tot voor kort konden alleen mensen met 2 of meer telefoons deze beveiliging omzeilen. :+
Het is op Android 5.0 ook mogelijk om je scherm te recorden wanneer je apps als Snapchat gebruikt, hoe zit dat dan?
Ik heb Now on Tap op mijn Nexus5, maar er is geen optie om de screenshot te delen of op te slaan.
Linksonder zou een share knop moeten staan, maar die ontbreekt bij mij.
Heeft dit wel zin voor plaatjes? Ik kan gewoon met een tweede camera een plaatje nemen van mijn mobieltje. Daar doe je dan ook niks tegen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True