Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 72 reacties

Het is kwaadwillenden gelukt om zeven keer Apple te misleiden en een kwaadaardige app of een update daarvan in de App Store geplaatst te krijgen. Ze omzeilden de beveiliging door zich te vermommen als een reguliere app voor het downloaden van wallpapers.

Bij het opstarten legt de app contact met een server in China, die vervolgens een cijfer terugstuurt. Stuurt de server een '1' terug, dan komt een wallpaper-app tevoorschijn, bij een '0' komt een eigen downloadwinkel tevoorschijn die probeert gebruikersnaam en wachtwoord van het Apple-ID van de gebruiker te ontfutselen, schrijft beveiligingsbedrijf Palo Alto. Het bedrijf noemt de malware AceDeceiver.

Dat Apple niet gemerkt heeft dat het om malware ging, kwam vermoedelijk doordat de ontwikkelaars ervoor zorgden dat de app in de reviewperiode alleen de keurige wallpaper-app lieten zien. De server geeft alleen toestemming om de downloadwinkel te tonen bij ip-adressen uit China. Bovendien checkt de server welk apparaat het is. Als het apparaat zich eerder buiten China bevond, krijgt de gebruiker de downloadwinkel ook niet te zien.

In totaal kregen de ontwikkelaars drie apps in de App Store en die hebben in totaal vier updates gehad, waardoor de onbekenden zeven keer Apples controleurs van apps hebben misleid. Wat de apps lastig te ontdekken maakte, is dat ze verkrijgbaar waren in slechts een paar landen. Een van de apps stond alleen in de App Store in Hongkong en Nieuw-Zeeland, een andere alleen in de Verenigde Staten. Bovendien werd de malware niet actief in die landen, maar de criminelen hadden het alleen gemunt op Chinese gebruikers.

Met de vermelding in de App Store kregen de criminelen de app zonder enterprise certificate op niet-gejailbreakte iPhones via desktopsoftware. Het gebruikt daarvoor een desktopprogramma met de naam ”爱思助手, wat Palo Alto vertaalt als Aisi Helper. Met behulp van een al bekende kwetsbaarheid in Apples FairPlay-drm installeert die software een AceDeceiver-app op een iOS-apparaat zonder dat het daarvoor toestemming vraagt. Daarvoor hebben de kwaadwillenden delen van iTunes moeten reverse engineeren. Doordat de apps in de App Store hebben gestaan, kan de server van de onbekende ontwikkelaars authenticatie geven voor het installeren van de kwaadaardige app.

Na de melding van Palo Alto heeft Apple binnen een dag de betreffende apps uit de App Store gehaald. Via de desktopsoftware Aisi Helper is verdere verspreiding van AceDeceiver nog steeds mogelijk. Het is onbekend hoeveel gebruikers hun gebruikersnamen en wachtwoorden hebben ingevuld in de app.

Het is niet voor het eerst dat er malware verschijnt in de App Store. In september vorig jaar kwamen tientallen apps met malware in Apples downloadwinkel door een besmette versie van ontwikkelaarsprogramma Xcode. Enkele maanden daarvoor lukte het onderzoekers om malware in de App Store te krijgen.

Moderatie-faq Wijzig weergave

Reacties (72)

En dan blijkt de App Store niet zo waterdicht als gedacht. De grote voordelen gaan zo langzamerhand verdwijnen ( betere controle apps in Appstore).
En dan blijkt de App Store niet zo waterdicht als gedacht. De grote voordelen gaan zo langzamerhand verdwijnen ( betere controle apps in Appstore).
Ben je nou serieus of zit je gewoon te trollen want Apple?
  • Het is 7 keer gelukt op de duizenden en duizenden apps die er in de appstore staan.
  • De app kan helemaal niets met je telefoon omdat het nog steeds sandboxed is.
  • Ze moeten enorm veel moeite in de app steken, gezien het eerst een periode als normale wallpaper app functioneerde. Alleen dit al werkt ontzettend ontmoedigend voor men die het zelfde idee krijgt
  • De apps zijn na ontdekking binnen no-time verwijderd
  • Als laatste moet je altijd nog ZELF je credentials invullen op een manier dat niet vertrouwd is (Zoals je normaal aanmeld bij de appstore).
Dan durf jij te zeggen dat de "grote voordelen" verdwijnen? Alstublieft zeg, wees eens reŽel. Google even naar een willekeurige chart met daarin de cijfers van malware per platform en trek dan nog eens je conclusies. Men roept het al jaren over iOS (en OSX). Tot op heden is er nog bar weinig gebeurt. Iedereen die roept dat iOS waterdicht is heeft het niet bepaald begrepen. Natuurlijk zijn er ook op iOS (en OSX) kwetsbaarheden, malware en misschien zelfs wel virussen te vinden maar het verbleekt in vergelijking met de concurrentie.

[Reactie gewijzigd door Typecast-L op 16 maart 2016 19:42]

Men moet er gewoon vanuit gaan dat er altijd malware kan tussen zitten of dit nu op de App Store, Google Play, Amazon Store, Windows Store,... is. Het is wanneer dat mensen denken dat ze veilig zijn dat het juist gevaarlijk wordt. De kans om malware via Google Play te downloaden is eveneens klein (+je hebt dan ook nog eens on-device bescherming) maar niet te min moet je altijd opletten. Als je gaat side-loaden is er een gigantische verhoging van de kans op malware.

Even met betrekking tot jouw stelling:
"Natuurlijk zijn er ook op iOS (en OSX) kwetsbaarheden, malware en misschien zelfs wel virussen te vinden maar het verbleekt in vergelijking met de concurrentie."

Met betrekking tot kwetsbaarheden is deze stelling niet juist. Voor malware en virussen wel. Volgens de data van CVE waren OSX en iOS zelfs de twee platformen met de meeste kwetsbaarheden van 2015 (zelfs meer dan Flash :s, iets waar ik toch van verschoot moet ik eerlijk zeggen).

[Reactie gewijzigd door Chip5y op 16 maart 2016 20:05]

Precies, je kan niet van een systeem verwachten welke toestaat dat users hun zelfgemaakte apps toe kunnen voegen ook 100% waterdicht is. Dat heeft niets met het merk te maken, het risico dat er troep in komt zal altijd aanwezig zijn.
Je bedoeld dat de Palo Alto heeft ontdenkt dat er 7 keer een app in de appstore terecht gekomen is door ťťn groepje kwaadwillende met hun app AceDeceiver, wie zegt er dat het niet tien keer vaker is gebeurd waarvan het niet bekend is? Dit is gedaan door 1 groepje criminelen, ik geloof niet dat hun de enige zijn, er zullen vast wel apps zien die Palo Alto niet heeft getraceerd.
Ben je nou serieus of zit je gewoon te trollen want Apple? dit verdient een '0' vanwege overduidelijke Apple fanboy uithaal.
Dus als ik iemand op zijn getrol aanspreek met goede argumenten verdient mijn post een 0? Ik denk dat jij niet helemaal begrijpt hoe het rating systeem op Tweakers werkt.
Even zonder grappen, alwaysleft heeft een heel goed en valide punt, de punten die jij maakt zijn leuk, maar ondermijnen zijn punt niet, feit blijft dat dit (weer) aantoont dat Apple helemaal niet zo veilig is als word voorgedaan, ook daar gaan er dingen fout met automatische controle processen, dat is verder geen drama, maar hoef je ook niet zo aan de kant te schuiven alsof het niets is ('omdat platform X meer malware heeft') en nu voor het eerst gebeurd.
Het probleem met jou stelling is dat je er van uit gaat dat Apple's security heilig verklaard is. Ik kan werkelijk geen enkel artikel online vinden waarin dat beweerd wordt. De enige mensen die dit agrument altijd lijken aan te halen zijn de anti-Apple mensen. Iedereen snapt dat geen enkel OS 100% secure is, ja ook Apple aanhangers snappen dit. Je kan mijn argumenten wel wegwuiven als niet toe doende maar de cijfers liegen er toch echt niet om. En zeg nou zelf 7 apps die tijdelijk besmet geweest zijn op duizenden duizenden apps? seven to then thousands? I'll take that bet any day of the week :)

[Reactie gewijzigd door Typecast-L op 16 maart 2016 22:45]

Hoi,
Ik heb de linkjes die je hebt toegevoegd even open geklikt, en de volgende dingen vielen me op:
  • Forbes heeft het erover dat
    Android does account for 97% of all mobile malware, but it comes from small, unregulated third party app stores predominantly in the Middle East and Asia. By contrast the percentage of apps carrying malware on Google’s official Play Store was found to be just 0.1% (...)
  • Als je bij spreitzenbarth.de even telt, kan je zien dat er 21 van de 176 bekende malware in de play-store te vinden waren (kan zijn dat ik fout geteld heb).
  • Gdata heeft het over
    But how can such applications get onto the mobile
    device? The answer generally lies in alternative app stores
    or intrusive advertising networks. Copies of paid-for
    original apps are often available here at a cheaper price
    or even for free, but they come packed with potentially
    unwanted add-ons.
  • En scmagazineuk.com heeft het over
    “Google gives people a choice, and with that choice comes responsibility,” said Bradley. “They recommend that people always stick to official channels such as Google Play when downloading apps but they do give people the choice to install apps from other sources. Bad actors will try and get people with Android phones to install malicious apps on their phones using social engineering techniques.
Al met al is het verschil dus volgens mij best klein tussen Android en iOS, zolang je niet apps buiten de appstores om installeert (ik heb voor het gemak maar even voor Android 'vs' iOS gekeken, omdat daar de meeste linkjes over gingen).

Overigens heb ik ook wel mensen ontmoet die dachten dat ze geen virussen konden krijgen omdat ze Apple producten gebruikten. "ja ook Apple aanhangers snappen dit" is dus misschien iets te kort door de bocht. (Ik zie nu net ook nog deze reactie voorbij komen: http://tweakers.net/nieuw...e-voor-ios.html#r_8336821)

Ik heb ook nog 1 opmerking over je eerdere reactie, met name op het volgende stukje: "Natuurlijk zijn er ook op iOS (en OSX) kwetsbaarheden, malware en misschien zelfs wel virussen te vinden maar het verbleekt in vergelijking met de concurrentie.": Als je naar besturingssytemen voor computers wil gaan kijken (OSX), dan denk ik dat je ook nog even moet kijken naar Linux, want volgens mij zijn er distibuties waarop minder virussen bestaan dan voor OSX ;)

Ik denk dus dat het niet heel erg veel uit maakt of je iOS of Android gebruikt (of welk ander besturingssysteem dan ook), zolang je er maar verstandig mee om gaat; wat helaas toch soms niet gebeurt.

[Reactie gewijzigd door Desirius op 16 maart 2016 22:26]

Het wordt door de meeste mensen verkeerd begrepen, ik ben geen specifiek aanhanger van apple, als er wat vooruitgang in windows 10 (en vooral de hardware die het draait) kwam, dan had ik met plezier windows geprobeerd, maar dat terzijde. Android is een prachtig besturingssysteem met wat vervelende problemen (zoals een aantal weken door tweakers is gedocumenteerd) met de security van android zelf is niets mis. Ik adviseer alleen mensen om, als je geen verstand van dingen hebt (en dat zijn er veel, wat jullie ongetwijfeld weten), dat de kans dat je met een apple toestel malware gaat krijgen vele malen kleiner is dan op een android toestel. Nu zal er gedacht worden van dat verhaal kennen we al, maar als je even reŽel gaat kijken wat ik alleen zelf zo al kan zien:

- ios staat downloaden in de browser niet toe, dit is alleen mogelijk door er een app van derden op te zetten (het is geloof ik zelfs niet mogelijk met de chrome browser van google)

- het is vrijwel niet mogelijk (lees niet: onmogelijk) om apps buiten de appstore om te installeren zonder dat je het toestel jailbreakt of de app sideload.

- de appstore van apple is vele malen stricter dan die van google (alhoewel google langzaam aan ook steeds stricter wordt in de play store) dat wil dus zeggen dat de apps (althans voor nu) beter gecontroleerd worden voordat ze ter beschikking worden gesteld voor de consument.

- sinds ios 8 is het mogelijk om toetsenborden van derden te kunnen gebruiken op ios, dit klinkt leuk want android had dat natuurlijk al jaren, maar toetsenborden in ios zijn beperkt(er) dan die van android. In sommige apps werken toetsenborden van derden simpelweg niet of slecht en het toetsenbord loopt helaas ooit vast. Maar de nadelen zijn ook meteen de voordelen, want ios staat niet toe om toetsenborden van derden te gebruiken in wachtwoordvelden (dit geldt voor alle wachtwoordvelden die je tegenkomt) en op het lockscreen werkt ook alleen het standaard ios toetsenbord zodat er geen gegevens kunnen worden gestolen door derden (lees toetsenbord developers of andere kwaadwillenden).

- ios wordt overal ter wereld geroemd om zijn updates en helaas door fragmentatie van android loopt het daar wat minder soepel met updates (tweakers heeft hier een tijd geleden een artikel over geschreven) dat wil zeggen dat security updates sneller aankomen bij apple gebruikers dan android gebruikers, daarbij signeert apple oudere besturingssystemen niet (en dat doen ze vaak al binnen 2 weken) wat betekent dat je altijd de laatste versie van ios hebt, tenzij je niet update, maar wanneer de telefoon dan ooit weer hersteld moet worden of iets dergelijks, dan kun je alleen maar terug herstellen naar de laatste versie.

- ios is zo gesloten, dat je er zelfs als leek een behoorlijke partij moeite voor moet doen wil je daar iets op verkeerd doen (zoals per ongeluk downloaden, snelkoppelingen maken of apps meerdere keren installeren).

- apple kent geen virusscanners, hoewel dit ook een nadeel is, is het voor de gemiddelde consument juist een voordeel, omdat die zich dan niet bezig hoeft te houden met dit soort zaken.

Dit zijn maar wat voorbeelden. Let op ik zeg niet dat ios dus beter is dan android. Android heeft namelijk een hele hoop voordelen wat bij apple alleen mogelijk is bij een jailbreak (en die zijn tegenwoordig vrij schaars). Geen enkel besturingssysteem is zo naar de hand te zetten als android en dat is een goede zaak, maar tegelijkertijd voor de mensen die er geen verstand van hebben (zoals ik hierboven al genoemd had) een ware hel. Android bevat zoveel instellingen dat het voor die gebruikers lastig is om te zien wat nu officieel is en wat niet, en daarbij komt de verschillende android versies en schillen (wat veel fabrikanten doen) helpt die consument niet om het eenvoudiger te maken. Let op ik zeg nog steeds niet dat ios beter is. Het is dus veel sneller mogelijk om per ongeluk iets buiten de playstore te installeren of even een virusje downloaden per ongeluk.

Wat desirius dus zegt klopt, het zijn allebei besturingssystemen die in mijn ogen gelijkwaardig zijn voor de doelgroep die het aanspreekt er wordt alleen niet altijd even gelukkig mee omgegaan.

Conclusie: als je me zou vragen welk os beter is, dan zou ik zeggen allebei gelijkwaardig, maar beide een andere focus. Het is wat jij als gebruiker er mee wilt doen. Als je me zou vragen welk os beter beveiligd is, dan zou ik weer hetzelfde zeggen. Maar als je me zou vragen welk os er beter is voor leken en dan met name betrekking tot beveiliging, dan zou ik zeggen ios. Dus vandaar dat ik ios aanraad aan mensen die er geen tot weinig verstand van hebben. Buiten dat vind ik android heerlijk omdat je het zo kan aanpassen zoals je zelf wilt, en omdat oled toch echt mooier is dan lcd (apple heeft alleen oled in de apple watch).
Je zegt "dat de kans dat je met een apple toestel malware gaat krijgen vele malen kleiner is dan op een android toestel", maar op het moment dat je niet download vanuit andere plekken dan de play store lijkt dat dus redelijk mee te vallen (zie mijn vorige comment).

Op het moment dat ik een app wil installeren vanuit een andere plek moet ik 2x een dialog wegklikken waabrij staat dat het wegens beveiligingsredenen geblokkeerd is, met de vraag of je het echt wel wil doen. Daarnaast moet ik ook nog de goede optie aanklikken (je kan dus niet zomaar op "ok" blijven drukken).
Ik heb nooit een apparaat met iOS gehad, dus ik weet niet hoe moeilijk het precies is om daarop een app te installeren die niet uit een store komt (dus sideloaden?), maar op Android kan je dat dus ook niet zomaar doen zonder dat er (in mijn ogen) genoeg waarschuwingen komen voor wat je aan het doen bent (ik heb het alleen even snel bekeken op een telefoon met de Samsung overlay, maar ik weet wel zeker dat op stock-android je ook op zijn minst 1 van die dialogen te zien krijgt).

Ook schrijf je "ios is zo gesloten, dat je er zelfs als leek een behoorlijke partij moeite voor moet doen wil je daar iets op verkeerd doen (zoals per ongeluk downloaden, snelkoppelingen maken of apps meerdere keren installeren).", maar op Android kan je een app ook niet 2x installeren, en je moet 2x op een knop drukken voordat een app geÔnstalleerd wordt (1x op "installeren" en dan nog een keer akkoord gaan met de permissions); dus per ongeluk een app installeren gebeurt ook niet zomaar.

Dus volgens mij zijn dat dingen die opzich op Android wel ook best genoeg in elkaar zitten.

Ik ben het er wel mee eens dat de toetsenborden op Android ook een nadeel zijn, omdat ze altijd kunnen bijhouden wat je intypt (wat nu dus op Apple ook kan, behalve wachtwoorden). Echter moet je op Android wel nog eerst zorgen dat je een toetsenbord kan gebruiken (in de settings), waarbij er ook nog een melding wordt weergegeven waarin het risico uitgelegd wordt. Ik weet niet hoe dat op iOS is, maar op Android moet je dus ook wel eerst expliciet toestemming geven voordat je een nieuw toetsenbord kan gebruiken.

Volgens mij is het dus ook voor leken best goed te doen om Android, zolang ze maar lezen wat er in de meldingen staan; iets wat altijd moet gebeuren.

De updates van Android zijn wel een probleem inderdaad. Nou weet ik wel weer dat dat komt doordat telefoonfabrikanten er een eigen Android op zetten, waardoor de telefoonfabrikanten ook verantwoordelijk worden voor het uitrollen van de updates; wat vaak slecht gebeurt. Dat is inderdaad wel een (groot) nadeel van Android.

Ik begin volgens mij ondertussen een beetje te klinken als een Android "fanboy", maar dat is niet mijn bedoeling. Dit is slechts een reactie op het voorgaande bericht en alleen bedoeld als reactie op (enkele) punten uit die reactie, omdat ik wel van mening ben dat die punten ook op Android goed in elkaar zitten (en dus geen nadelen zijn).

Om ook maar af te sluiten met een conclusie: Ik ben het niet mee eens dat mensen die er weinig tot geen verstand van hebben het beste iOS kunnen gebruiken, maar ik denk dat het ook voor die mensen niet uit maakt of ze Android of iOS gebruiken. Ik denk dat het meer afhangt van wat je zelf prettiger vindt, en het daardoor ook afhangt van waaraan je gewend bent.
en jij bent een apple lover die niet tegen kritiek op dat platform kan.
In tegendeel, kritiek verwelkom ik maar dan moet het wel gegrond zijn. Wat je vaak merkt is dat Apple tot aan onredelijkheid aan toe gebashed wordt, vaak is het enkel gebaseerd op meningen en onderbuik gevoelens die men heeft en niet op de feiten. Reden en logica lijken in discussies als deze vaak uit het raam gegooid te worden. (geld overigens voor beide kampen) Jij bent er het schoolvoorbeeld van als ik je posthistory in Apple topics eens bekijk.

Ik beschouw mijzelf wel als Apple fan inderdaad, niet omdat ik blind ben voor de rest overigens. In mijn huis zijn alle merken toestellen wel te vinden (geweest). Op zakelijk gebied geld precies het zelfde. Echter gaat mijn voorkeur uit naar de toestellen van Apple. Wat is daar mis mee?

[Reactie gewijzigd door Typecast-L op 17 maart 2016 14:30]

Als gebruiker moet je nog altijd even nadenken over wat je installeert en welke gegevens je aan een app geeft. Geen enkel review process kan dat vervangen...
Hoewel je hier wel deels gelijk heb, mag je ervan uit gaan dat een officiŽle applicatie downloadwinkel zoals de App Store, Google Play of de Windows Store wel degelijk "veilig" is.
En ik zeg bewust "veilig" omdat er altijd wel een juweeltje tussen schiet ;) Daar doe je niets aan behalve bedacht zijn en inderdaad nadenken voordat je klakkeloos een applicatie installeert.
Ik ben het met je eens. Er zijn twee momenten waar je aandachtig moet zijn:
1. bij installeren: zomaar iets installeren dat je niet kent, is altijd een zeker risico.
2. wanneer de app je iets vraagt. Apps kunnen via het OS om toegangen vragen - altijd even nadenken waarom. En een App hoort nooit je Apple id en Paswoord te vragen...
Sowieso moet je aandachtig zijn bij applicaties. Op Android kan je vanaf 6.0 permissies toekennen, iets van in iOS al langer aanwezig is :)
Ja inderdaad, het vragen van de permissies op het moment dat ze nodig zijn is erg nuttig. Als ik de relatie tot de actie niet begrijp, dan is het nee (een goede app maakt het waarom van de permissie duidelijk).
Ook dat ontbreekt vaak. Op de Google varianten wel.. Ligt dan ook weer aan de ontwikkelaar maar goed.
Maar in dit verhaal kon Apple dit NIET weten omdat zij een normale wallpaper shop zouden zien.
Zeg dat maar eens in de gemiddelde Apple vs Android discussie.
De App Store mag dan niet waterdicht zijn, er wordt nog steeds enorm veel rotzooi tegengehouden. Dus het is nog steeds veiliger dan de Play Store of de Windows Store.
Niet helemaal waar. Doordat de meeste rotzooi tegengehouden wordt zal de gemiddelde gebruiker zijn hersens stoppen te gebruiken en alles voor veilig aanzien. Waar de rotzooi die er wel doorheen gekomen is juist zeer geadvanceerd zal zijn en de gebruiker onwetend om de tuin zal lijden.

Achja het is een Apple. Geen virusscanner voor nodig. - De gebruiker anno 2016 (des ondanks dat Apple dat heeft terug getrokken)
Malware in de Windows store? Wanneer dan? Dusver nog niet voorgekomen en Microsoft is daar best trots op.
Have to see proof or that didn't happen.
Kan ook vanalles roepen zonder gegronde, verifieerbare fundatie en cijfers.
Eigen ervaring? Als je zelf ooit een app gaat submitten op de App Store, moet je zien dat je netjes alle permissies die je vraagt om te gebruiken, ook effectief gebruikt en gebruikt waarvoor ze bedoeld zijn. Als je app locatievoorzieningen gebruikt maar zonder nut of duidelijke motivatie waarom, dan wordt je app dadelijk tegengehouden.
De play store wordt ook gecontroleerd op malware.
Ik had het niet over onofficiŽle stores, maar over play store.
Het feit dat je van alternatieve App Stores applicaties binnen kan halen zegt al genoeg. Het is niet weggelegd voor de gemiddelde gebruiker om hier mee om te gaan op een verantwoorde manier. De link die Typecast-L geeft is erg leuk om eens naar te kijken. Hier is een link naar de slider van zijn presentatie: RSA conference powerpoint Rowland Yu

En hier wat background info bij die sessie.
Het is niet perse malware zoals op PC's en Android apparatuur begrepen wordt, maar eigenlijk vooral phising software. Het doet niks met je telefoon, het kan niet uit z'n sandbox ontsnappen en kan ook geen gegevens stelen of implanteren.

Het enige wat het ding doet is de gebruiker vragen z'n ID en wachtwoord in te voeren, wat eigenlijk niks anders is dan een dialoogvenster. Als iemand dan inderdaad z'n gegevens invoert (om wat voor reden dan ook), kan de app die uiteraard zien, je geeft de gegevens immers aan de app.
En vervolgens kopen ze met de inloggegevens van de argeloze gebruikers andere apps die ze in de market hebben staan en verdienen op die manier geld.
Dat is dus wel onder malware te zetten.
Phishing is geen malware:
Phishing is geen malware. Er komt immers geen programma op uw computer aan te pas om de gewenste gegevens van u te verkrijgen. De techniek is social engineering, de algemene term is scam.
Bron


Het is wel bijzonder dat dit niet door Apple is ontdekt tijdens de "scan/check" ach, ook in de Play Store zullen deze juweeltjes wel staan ;)
Het is niet ontdekt om dat de app een request naar china doet, en de server daar alleen die '1' terug stuurt als het IP niet van Apple is. Dan laten ze tijdens de test dus de normale content zien en als een eindgebruiker het doet krijgen ze de phising popup.
Die info had ik in een van de reacties inderdaad gelezen, het is in ieder geval lastig tot totaal niet te controleren. Dit is een "dweilen met de kraan open" situatie.
Helaas is dat inderdaad zo. Ik vraag me af wat er hierna gebeurt. Apple kan natuurlijk gewoon extra IP's gebruiken of commerciŽle diensten afnemen en via 3G en 4G werken, maar dan komt daar vast weer een 'oplossing' voor uit China...

Tot zo ver is de schade beperkt dacht ik, gezien Apple meestal wel weet dat een gestolen Apple ID een bepaald gedrag gaat vertonen dat afwijkt van normaal gedrag (bijvoorbeeld een aankoop in Nederland en een paar minuten later in China.. onwaarschijnlijk), of dat het na het installeren van een specifieke App gebeurt.

Het gaat eigenlijk richting de creditcard fraude scenario's :-/
Ook kan je je account extra beschermen met 2 staps authenticatie.
Ieder van de grote mobiele OS partijen (Apple Google en Microsoft) roept dat ze apps goed checken, maar dat is gewoon niet haalbaar, het geheel gaat eerst gewoon door een automatische check, en alleen als daar iets uit komt word er handmatig in meer detail naar gekeken.

Ik durf zo te wedden dat er op dit moment 100+ 'enge apps' op iTunes/Windows Store staan, en waarschijnlijk nog veel meer op de Play store (Android is immers in het wereldwijde perspectief het grootste, dus ook het grootste doel) maar die zijn gewoon nog niet ontdekt.
In dit geval komt er dus wel een programma op de "computer" (IOS device) aan te pas en is het dus wel malware. Het phishing gedeelte gebeurd in de malware app.

[Reactie gewijzigd door EnigmaNL op 16 maart 2016 18:57]

Meeste malware werkt zonder tussenkomst van gebruiker (behalve installatie) bij deze applicatie vult de gebruiker zijn of haar gegevens in. Iets wat mij ook door tig banken gevraagd wordt, terwijl ik toch echt maar bij 1 bank zit :+ Deze verzoeken zijn toch echt gewoon Phishing mails?
Nee da app bevat geen malware, de app zelf is gewoon clean. Alleen de servers waar de app verbinding mee maakt is niet in orde. In feite als je de app op je telefoon hebt staan en geen gegevens invult en dergelijke kan er dus ook niets gebeuren. Bij malware werkt het effect vaak onmiddelijk zonder er iets voor hoeven in te voeren, plus malware werkt offline, waar deze app dus totaal geen schade kan aanrichten als je geen internetverbinding hebt.
Malware is kwaadwillende software, dat is dit ook.
In principe niet, want de software zelf kan geen kwaad. Het is de server die het kwaad serveert. Niet de app zelf, de app is alleen het middel om het op te halen. Oftewel blijf je offline kan het sowieso al geen schade aanrichten.
Ik schreef toch ook niet dat het geen marlware is, of dat het nieuws is dat China graag westerse AppleID's steelt...
De malware is alleen in China echt actief dus de Chinezen hebben ook interesse in AppleIDs van hun landgenoten
Wellicht ten overvloede: malware komt ook op de iPhone voor.

http://www.iphoned.nl/nieuws/xcode-malware-app-store/
Goed verhaal, oud nieuws.

Dat was een probleem in een aangepaste versie van Xcode die in China via niet-officiŽle kanalen werd aangeboden en gedownload, terwijl de originele Xcode (direct bij Apple weg) gewoon gratis is. Die neppe versie van Xcode injecteerde malafide code direct in de applicaties.
Klopt, toentertijd was dat ook logisch omdat iets downloaden vanaf een server buiten China daar bijna onmogelijk is.
Hierdoor werden er onofficiŽle kanalen gebruikt, inmiddels heeft Apple dit opgelost door xcode ook op Chinese servers te hosten als gratis download.
Dank voor de toelichting 😊 was even vergeten de reden toe te voegen dat de Chinesen aanspoorde niet-officiŽle Xcode installaties te doen.
Nee, dat is Mac OS X malware die via Xcode iets injecteerde in de Apps. Daarnaast ook weer phishing om dat er geen informatie buit gemaakt kan worden zonder dat de gebruiker dat zelf intoetst:
De ontwikkelaars van XcodeGhost probeerden onder meer achter wachtwoorden van apps te komen, door systeeminformatie als taalinstellingen en het netwerktype te achterhalen via de malware. Met deze gegevens waren zij in staat nepvensters te laten verschijnen op je toestel, waarin gevraagd werd in te loggen in een bepaalde apps. Ook konden ze hiermee je clipboard aflezen.

[Reactie gewijzigd door johnkeates op 16 maart 2016 19:14]

Het lijkt me dat het hier niet perse om opvallende code gaat. Een loginscherm komt in heel veel apps terug, en op http calls gebaseerde if statements ook. Denk hierbij aan een app die even aan de thuis basis vraagt of bepaalde content al weer moet worden gegeven.

Controleren op strings als Apple ID is natuurlijk ook niet te doen. Ook zou je gemakkelijk die strings ook van een webserver kunnen laten komen.

Natuurlijk is het helemaal niet nodig om kwaadaardige code in de app te hebben zitten. Je kan uiteraard ook gewoon een webview element maken. Er zijn zat gebruikers die dat niet zien.
Afgezien daarvan: je moet voor de review aan Apple een account en password geven, als er een inlogscherm in een App zit. Het is heel eenvoudig om andere calls te doen als er ingelogd wordt met het review-account. In mijn geval heeft het review-account overigens veel minder rechten op de thuisbasis dan een normaal account.

In de review-periode heb ik Apple trouwens nooit zien inloggen, dus de controle strekt niet echt ver. Het ging hier om een VPP Business App, maar die controle zou net zo goed moeten zijn als bij een gewone consumenten-App
Wanneer moet je je zorgen maken?

Je loopt eigenlijk alleen risico als je aan de volgende drie voorwaarden voldoet:

Je downloadt wel eens apps via iTunes op de desktop.
En: je hebt de afgelopen 9 maanden ťťn van de volgende wallpaper-apps geÔnstalleerd: i4picture, AS Wallpaper of 壁纸助手.
En: je bent Windows-gebruiker.
Installeer je apps altijd meteen op de iPhone of iPad, zonder de omweg via iTunes op de desktop, dan loop je voorzover wij konden nagaan geen risico.

Bron: http://www.iculture.nl/ac...alware-app-store-ontdekt/
Goed om te zien dat het gaat om kleine incidenten en dat het uiteindelijke risico van het gebruik van de store zeer laag is. In dit geval ook weer snel gedetecteerd en verwijderd.

100% zekerheid bestaat niet en de kans dat je wat oploopt is dus ook heel klein.
Simpel (denk ik): Na de review fase, en de app staat in de store, nogmaals controleren.. En na elke update. Alleen op die manier kun je de boel schoon houden..
Ze kunnen zovaak deze app controleren als ze willen, Apple test het niet in China en dus krijg je netjes een walpaper app i.p.v de scam pagina
Vind ik toch wat kort door de bocht. In de hele procedure kan het best zijn dat ook in verschillende landen wordt geprobeerd (al is het maar via een VPN). maar Poor leno heeft een punt je kan best vaker dan alleen tijdens de review testen of iets raars gebeurt. Natuurlijk moet het dan wel automatisch gebeuren anders wordt het hele proces nog trager als dat het nu al is ;) Daar ligt natuurlijk gelijk het probleem wanneer iets 'raar" is of niet
Vreemd, wordt er bij de criteria voor het beoordelen van de app bij Apple dan niet kort getest of deze veilig is? Blijkbaar was dat in dit geval eenvoudig op te sporen..
Dat Apple niet gemerkt heeft dat het om malware ging, kwam vermoedelijk doordat de ontwikkelaars ervoor zorgden dat de app in de reviewperiode alleen de keurige wallpaper-app lieten zien. De server geeft alleen toestemming om de downloadwinkel te tonen bij ip-adressen uit China. Bovendien checkt de server welk apparaat het is. Als het apparaat zich eerder buiten China bevond, krijgt de gebruiker de downloadwinkel ook niet te zien.

In totaal kregen de ontwikkelaars drie apps in de App Store en die hebben in totaal vier updates gehad, waardoor de onbekenden zeven keer Apples controleurs van apps hebben misleid. Wat de apps lastig te ontdekken maakte, is dat ze verkrijgbaar waren in slechts een paar landen. Een van de apps stond alleen in de App Store in Hongkong en Nieuw-Zeeland, een andere alleen in de Verenigde Staten. Bovendien werd de malware niet actief in die landen, maar de criminelen hadden het alleen gemunt op Chinese gebruikers.
Slim en effectief.
Artikel lezen is ook een vak op zich..
Gesloten stores vormen dus geen beveiliging meer - misschien is het gewoon beter aan minimalistic computing te doen - de bijl in de features. Back to the basics!
Minder connectiviteit maar beter en veiliger en sneller, en goedkoper.
Gesloten stores vormen dus geen beveiliging meer
7 van de anderhalf miljoen apps waren tijdelijk besmet met iets wat totaal niet schadelijk is behalve wanneer je altijd een chinees IP gehad hebt EN wanneer je ZELF je login gegevens invult. Zelfs dan kan het niets schadelijks op je telefoon aanrichten, al je apps zijn veilig, het enige wat er gebeurt is, is dat je jou login gegevens van je appstore prijs geeft. Worst case scenario ben je dus een chinees met een hoge rekening vanwege alle apps die op jou naam gekocht zijn. Echter is Apple zeer coulant met foute aankopen of oplichting en krijg je zonder gedoe je aankoopbedrag terug. Vervelender is natuurlijk dat wanneer je geen two factor authentication ingeschakeld hebt, ze ook bij je icloud gegevens kunnen komen. Heb je het wel ingeschakeld dan kunnen ze daar ook naar fluiten. Al met al is het wel erg overdreven om te zeggen dat gesloten stores geen beveiliging meer vormen.

[Reactie gewijzigd door Derpherp op 16 maart 2016 21:34]

Kwaadwillenden dat lees ik, buiten dit artikel, alleen in Windows update.
Heeft Apple daar geen eigen terminologie voor?
I-badguy ofzow?
:P
Helemaal een account aangemaakt om hierop te reageren?
Op geen enkel apparaat ben je 100% veilig. Dit gebeurt met regelmaat van de klok ook met websites van willekeurige banken, of telefoontjes van een softwarebedrijf. Qua (App Store) applicaties mag je bij Apple redelijk van uit gaan dat het orde is, maar om hierop 100% te vertrouwen (het is en blijft een menselijke controle) is natuurlijk niet aan te raden.
Als eindgebruiker heb je hier natuurlijk zelf ook een belangrijke rol in. Het zou te naÔef voor woorden zijn om te denken dat iedere ontwikkelaar het beste voor heeft met jouw persoonlijke gegevens, wachtwoorden etc, etc.
Het spijt me zeer maar da's wel erg naÔef in deze wereld....
Alles is te kraken met genoeg tijd en vindingrijkheid. Goed dat je er nu bij stil staat dankzij dit artikel, want je gewoon veilig waren vraagt om moeilijkheden en onoplettendheid. Misschien zet dit je er toe de rest van je digitale beveiliging nu ook tegen het licht te houden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True