Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google ontdekt Tizi-spyware die gegevens steelt op Android-apparaten

Googles beveiligingsteam heeft spyware geÔdentificeerd die het de naam Tizi heeft gegeven. Deze is voornamelijk actief in Afrikaanse landen en steelt gegevens van Android-toestellen, bijvoorbeeld uit apps als WhatsApp en Facebook.

De malware maakt gebruik van een aantal kwetsbaarheden die al enige tijd door Google zijn gedicht op apparaten met beveiligingsupdates van april 2016, meldt Google. Er bestaan verschillende varianten van de Tizi-malware, die Google identificeert als een familie van kwaadaardige software. Latere varianten van Tizi kunnen roottoegang verkrijgen en gebruiken technieken die analyse van de code bemoeilijken.

Als de malware eenmaal roottoegang heeft verkregen, steelt hij gevoelige gegevens uit apps als WhatsApp, Facebook, Twitter, Skype, Viber, Linkedin en Telegram. Om verbinding te maken met een command-and-control-server, stuurt de malware eerst een sms met de gps-coördinaten van een toestel naar een bepaald nummer. Vervolgens vindt communicatie met de server plaats via https en in sommige gevallen via het mqtt-protocol.

De Tizi-malware kan onder meer gesprekken opnemen, ongemerkt foto's nemen, sms-berichten verzenden en ontvangen, en toegang verkrijgen tot bijvoorbeeld contacten en wifiwachtwoorden. Google classificeert de malware als 'volledig uitgeruste backdoor'. Veruit de meeste installaties van kwaadaardige apps vonden plaats in Kenia, gevolgd door Nigeria en Tanzania.

Na ontdekking van de kwaadaardige software heeft Google de getroffen personen ingelicht en heeft het de Google Play-accounts van de ontwikkelaars van Tizi-apps geblokkeerd.

Door Sander van Voorst

Nieuwsredacteur

28-11-2017 • 08:48

59 Linkedin Google+

Reacties (59)

Wijzig sortering
Maar heeft het nog wat gedaan aan de beveiliging?

Wat ik me.altijd afvraag. De super goedkope.android smartphones, worden die automatisch voorzien van beveiligingsupdates? Omdat het toch android is en er internet beschikbaar is.
De basis bescherming wordt nu gedaan door de Google Play Services. Maar de grote patch updates moeten de fabrikanten het zelf doen.
De Google Play protect scant je apps en kijkt of er ergens een app is, die gevaarlijk kan zijn.

Wat jij bedoeld is de Android One Project. Fabrikanten maken een telefoon dat vooral budget gericht is, waarna Google stock android bijlevert, bijvoorbeeld bij de General Mobile Android One.

Android is Android, maar omdat veel fabrikanten hun eigen apps en launcher bijleveren, duurt het ook langer totdat er beveiligingsupdates / update van het OS komen. Bij Motorola worden de meeste apps via de Play store geŁpdate (Moto scherm).

Maar goed, het zou nog een tijdje duren, voordat Google de updates op zich neemt, zodat bijna elke telefoon een goede update kan krijgen.
Met project treble komen we een heel eind
Nee, in principe is de fabrikant degene die updates moet pushen bij android devices.
Helaas gaat dat dus niet op voor goedkope toestellen met oude software.
Wanneer Project Treble meer voeten in aarde krijgt is het niet denkbeeldig dat dit zelfs centraal door Google geregeld kan worden.
Maar het gaat nog wel even duren voor we zover zijn. Als er daar telefoons worden verkocht met kwetsbaarheden die begin 2016 al gedicht zijn (dat is meer dan anderhalf jaar geleden!) en project Treble hier nog nauwelijks iets betekent, hoe lang denk je dan dat het gaat duren voordat het wereldwijd iets betekent? Tot die tijd blijft dit soort kwetsbaarheden dus gewoon bestaan, met alle gevolgen van dien.
Dat kan voor de mensen die het belangrijk vinden heel snel gaan. Security patches is een ander verhaal dan major upgrades. Strikt genomen zou bij een goede implementatie van Project Treble elke nieuwe Android versie door Google gepatcht kunnen worden. Dus niet meer vanuit de fabrikant. Voorwaarde is uiteraard dat jij (de gebruiker) bereid bent om in te stappen.
In dit geval heeft het niet zozeer te maken met de bereidheid om in te stappen, maar domweg met de beschikbaarheid van toestellen waar project treble op aanwezig is. Project Treble is vooralsnog exclusief voor Android 8 beschikbaar (en zal dat waarschijnlijk, gezien het updatebeleid van de fabrikanten, ook wel blijven), die uitsluitend nog bij Google zelf verkrijgbaar is (dus voor HEEL weinig toestellen). De realiteit is dat maar bar weinig bestaande toestellen ooit versie 8 van het OS zullen gaan zien, wat betekent dat het minimaal 2-5 jaar zal duren voor 'iedereen' over deze optie beschikt. Kijk even hoe lang het heeft geduurd voor versie 7 een beetje voet aan de grond heeft gekregen, en hoeveel van de toestellen die beschikbaar waren bij de introductie van versie 7 ook daadwerkelijk een update naar de nieuwe versie hebben gekregen. Dat gaat met versie 8 echt niet anders worden, hoor. Nee, bereidheid om in te stappen heeft hier echt niets mee te maken, helaas.
Stel dat iedereen bereid is om in te stappen. En daarmee klopt je standpunt niet want dan gaat het heel snel. De voorwaarde is dus dat je bereid bent om in te stappen en dat heeft iedereen zelf in de hand.
Dit is al zo vaak gezegd over Android, ik geloof het niet meer. Project Treble maakt het misschien makkelijker, maar er is helemaal geen reden waarom fabrikanten hierdoor langer updates gaan geven. Het blijft effort die ze moeten steken in toestellen die al verkocht zijn en waar ze helemaal niks voor terug krijgen. Behalve misschien een iets betere review rating omdat hun updatebeleid beter is dan gemiddeld, maar als dat de drijfveer moet zijn, vrijwel niemand interesseert het welke Android versie ze hebben draaien en of ze updates krijgen lijkt het wel.

/edit: wat leesvoer: https://arstechnica.com/g...ally-with-project-treble/

[Reactie gewijzigd door zonoskar op 28 november 2017 10:16]

Mijn LG G4 heeft nog nooit een update gehad. Ben ook wel bang dat mijn toestel een enorme gatenkaas is.
Helaas gaat het vaak ook niet op voor duurdere toestellen...
Enerzijds hebben ze via Google Play Protect zo veel mogelijk gedaan, maar het onderliggende probleem is dat fabrikanten niet hun toestellen updaten. Vandaar dat ze ook Android One, Android Go en Project Treble hebben gemaakt om het makkelijker te maken voor fabrikanten op up to date te blijven. Dus ja, Google doet er erg veel aan ja.
Stel je koopt deze: http://s.aliexpress.com/BbQrEfIj

Kijk dat heb geen Android updates krijgt prima. Is te begrijpen. Maar beveiligsupdates zullen toch wel gewoon door moeten komen? Of is dit ook vaak geblokkeerd in de ROM?

[Reactie gewijzigd door theduke1989 op 28 november 2017 10:40]

Updates in de beveiliging die buiten het Play-services-gebied vallen moeten altijd via een ROM-update, hiervoor is de fabrikant verantwoordelijk. Voor dit soort Chinese toestellen met dit soort prijzen zou ik dus geen veiligheidsbeleid verwachten. Google probeert steeds meer systeemcomponenten via Play Services aan te bieden, zodat ze meer controle hebben over de veiligheid, maar er zijn genoeg dingen die nog op rom-niveau onveilig kunnen zijn.
Ze hebben veel gedaan aan beveiliging:
To protect Android devices and users, we used Google Play Protect to disable Tizi-infected apps on affected devices and have notified users of all known affected devices.
The Google Play Protect team also used information and signals from the Tizi apps to update Google's on-device security services and the systems that search for Potentially Harmful Applications.
These enhancements have been enabled for all users of our security services and increases coverage for Google Play users and the rest of the Android ecosystem.
Ook jij bent nu dus automatisch beveiligd als je dat nog niet was, door Play Services/Play Protect, die onafhankelijk van de rest van je OS updatet.
Na ontdekking van de kwaadaardige software heeft Google de getroffen personen ingelicht en heeft het de Google Play-accounts van de ontwikkelaars van Tizi-apps geblokkeerd
Het waren dus wel apps die in de Playstore stonden?

@Chuk niet alle installaties waren in Afrika, maar wel te minimaal om echt te benoemen.
Er wordt niet gezegd of deze apps in de Play Store staan, dus mogelijk wel en mogelijk niet. Google heeft door middel van Google Play Services/Play Protect (nieuw naampje voor al bestaande functionaliteit) ervoor gezorgd dat deze apps niet meer te installeren zijn uit externe bronnen. Daarnaast is Play Services geupdatet om het gedrag van deze spyware te herkennen in op te kunnen sporen als het zich ook in andere apps bevindt.
Waarom moet het play account van de 'ontwikkelaars' van die Tizi malware dan geblokt worden? Lijkt me dat die software dan gewoon in de play store stond.
Niet perse, je kunt nog steeds apps opnieuw bouwen en in een andere store/dl aanbieden.

Er zijn meerdere stores, mogelijk zijn enkele in de play store, en enkele op een andere bron. je weet het niet. Er staat ook niet dat ze allemaal geblokt zijn.
Ik weet dat apps uit externe bron nu ook gescand worden, maar dan is een Google Play account niet nodig. In ieder geval goed dat ze het zelf nu ontdekt hebben.
Het gaat niet om een Google Play account op de telefoon zelf maar om het Google account dat de software naar Google Play uploade. Om iets in de Playstore te zetten is wel een Google account nodig.
Dat was dus ook mijn hele punt. Omdat er staat dat het Google Play Account geblokkeerd was, ging ik er vanuit dat het om een developers account ging om in de Playstore te zetten. Dit account is niet nodig als het alleen via externe bron te installeren is.
Natuurlijk kun je die app nog uit externe bronnen installeren, je moet dan wel Play Protect uitzetten. Dat moet ik sowieso al omdat ik Lucky Patcher draai, die tool wordt niet zo gewaardeerd door Google omdat het licentiechecks van andere apps kan omzeilen en daarom duidt Google het maar als malware aan. Als ik een malware check wil wil ik alleen software blokkeren die mij benadeelt, niet software waarmee Googles verdienmodel onderuit gehaald wordt.
Wat ik nog mis in het artikel is waarom heeft google geen aangifte gedaan tegen de ontwikkelaar van Tizi apps. Als een software bouwer dit soort backdoor in gaat bouwen ben je strafbaar bezig.
Raar dat de app zich specifiek richtte op Afrika. Doet mij denken dat ze mogelijks eerder politieke doeleinden hadde met de spyware.
De vraag is of het wel specifiek gericht is op Afrika. Er staat alleen dat het daar relatief veel voorkomt. Wat er ook bij kan meespelen is dat in Afrika over het algemeen meer armoede is en wij vanuit het westen onze oude rommel (inclusief oude telefoons) daar naartoe verschepen. Android Marshmallow of hoger draait op ongeveer 40% van de devices in Afrika, vergeleken met 60%+ hier.

bron: statcounter
Gezien het feit dat de ontwikkelaars de moeite genomen hebben het mqtt-protocol in te bouwen, een protocol dat vooral bij trage en slechte verbindingen nuttig is, zou het me niet verbazen als het wel degelijk op Afikaanse landen gericht is. En het verzamelt ook gegevens die voor adverteerders niet zo zinvol zijn, als het de moeite doet WhatsApp en Telegram gesprekken te onderscheppen klinkt het meer als overheids malware die ontsnapt is. Er is in Kenia nogal een gedoe om de uitslag van de laatste verkiezingen, dit zou daar best mee te maken kunnen hebben.

[Reactie gewijzigd door Morgan4321 op 28 november 2017 10:43]

Zou het kunnen dat ze het mqtt-protocol hebben gebruikt om minder opvallend te zijn?
Ik zie niet in hoe, de bulkdata moet toch over de lijn dus het zal weinig doen om het totale datagebruik te laten afnemen. Maar het blijft natuurlijk giswerk, je weet het pas zeker als de ontwikkelaar dat geloofwaardig uitlegt en die laat natuurlijk niks van zich horen.
Goed mogelijk, vandaar waarschijnlijk ook de focus op Facebook en Whatsapp en niet op betaal apps of iets dergelijks.
Tja, als je bedenkt met welke Androidversie en welke apps die telefoons daar geleverd worden schrik je hier bijna niet van. Neem bijvoorbeeld de webbrowser die in sommige Afrikaanse landen populair is: UC Browser
Research has found that UC Browser is not secure, and it has Privacy issues. The UC Browser has many vulnerabilities. According to Qualys SSL Lab test; Logjam, FREAK and POODLE vulnerabilities are found in UC Browser.[16] UC Browser uses an outdated RC4 cipher cryptography with outdated SSL 3 or even SSL 2 protocol which has many security flaws.
UC Browser leaks users personal data. The Ministry of Electronics and Information Technology (MEITY) in India is currently investigating this privacy breach by Alibaba-owned UC Browser. It has been alleged that the second most used browser in India has been sending user data to Chinese servers and that it retains control over a user's device DNS even after the browser is deleted.
Ach ik gebruik nog altijd android 4.1 en 5.0 en de chrome browser uit 2013 omdat die kwa ui beter is.

Maar ik gebruik dan ook bewust niets interesants op mijn telefoon.

Veiligheid ben je zelf. Ik weet dat mijn telefoons niet veilig zijn maar ze doen het en er staat niets belangrijks op dus niets aan het handje.
Helaas is daar het bewustzijn hiervaan gewoon nul.

[Reactie gewijzigd door computerjunky op 28 november 2017 13:10]

Tot er een duur betaalnummer gebeld/ge-smst wordt.
Betaalnummers en sms diensten zijn geblokkeerd via de provider dus dat kan niet eens.
Het is allemaal wat in computerland. Kwetsbaar systeem. Maar toen ik dit bericht las dacht ik zoals de waard is vertrouwt hij zijn gasten. Dit is toch niet goed dat je geen vertrouwen meer kan hebben in OS'en en apparaten. Dit vooral na het verhaal dat Google de locatiegegevens binnenharkte ook nadat het delen van de locatiegegevens uit stond.
Dit is toch niet goed dat je geen vertrouwen meer kan hebben in OS'en en apparaten.
Alsof er nog iets is in de wereld waar je nog blind op kan vertrouwen...

Anders maak je even 1000 euro naar mij over, stort ik het over een week weer terug :) Of heb je (terecht) geen vertrouwen in andere mensen die je niet kent?
heeft het de Google Play-accounts van de ontwikkelaars van Tizi-apps geblokkeerd.
Betekent dit dat er wederom malware in de Play-Store stond? Je zou bijna denken dat Google ervan leert, misschien moeten ze hun AI-software daarop richten in plaats van het spelen van een spelletje Go.
Er is nooit een moment geweest, en er zal ook nooit een moment komen, dat er geen malware in de xxx-store staat. Live with it.
Maar ondertussen leren we wel de gebruikers, in de vele bewustwordingsprogramma's, dat ze alleen software uit de officiŽle stores mogen installeren omdat deze veilig zijn. Nu we zoveel voorbeelden van malware hebben gezien in deze officiŽle stores moeten we wellicht iets anders gaan vertellen aan gebruikers?
Wat wil je ze vertellen? Dat ze overal maar .apk's moeten downloaden...
Toch is het een teken aan de wand dat het vrijwel altijd dezelfde store is die in het nieuws komt hiermee.
Blijkbaar doen andere stores dat beter?

[Reactie gewijzigd door Vexxon op 28 november 2017 09:24]

'Beter' is subjectief. Apple heeft ooit Reddit apps geblokkeerd omdat die apps een eigen NSFW setting hadden, in plaats van de NSFW setting van Reddit te gebruiken.

Het kan ook een teken zijn dat andere OSen het slechter doen op de markt, en daardoor minder malware aantrekken. Net als 'Apple computers kunnen geen virussen krijgen'.
'Beter' is subjectief. Apple heeft ooit Reddit apps geblokkeerd omdat die apps een eigen NSFW setting hadden, in plaats van de NSFW setting van Reddit te gebruiken.
Dat vind ik toch wel van een geheel andere orde dan malware in de Store
Het kan ook een teken zijn dat andere OSen het slechter doen op de markt, en daardoor minder malware aantrekken. Net als 'Apple computers kunnen geen virussen krijgen'.
Goh, dat argument werd ook altijd aangedragen wanneer er een artikel verscheen over een virus op Windows, toen werd dat altijd afgedaan als onzin. OSX was veel beter opgezet. Nu is het ineens wel een argument om de malware op Android te verklaren.
> OSX was veel beter opgezet.

Dat is ook subjectief. Windows draait op een koelkast, een computer ter grootte van een koelkast, en alles daartussenin. OSX draait onderhand op minder configuraties dan er koelkastproducenten bestaan. Net als Android en iOS

Als je met 'dat argument' bedoelt dat Apple computers geen virussen kunnen krijgen, heb ik dat ook bewust tussen haakjes gezet omdat het onzin is, maar dat de reden voor dat idee ook het lagere marktaandeel van Apple was.
Android is echt een rommeltje vergeleken met Windows. Het zit meer op het niveau van Windows 95 qua security en populariteit dan Windows 10. Wat was het fijn geweest als een bedrijf wat al zijn dure lessen al geleerd had een monopolie had op vrij verkrijgbare mobiele besturingssystemen. Maar nee we kregen Android.
Tja, op Android waren er weer andere dure lessen om geleerd te worden, zoals app-permissies. Dat heeft Windows dan weer niet ;)
Aan de andere kant was het open model iets waar nauwelijks consumenten op zaten te wachten maar wel al een decennium aan hoofdpijn van gekomen is. Dat komt omdat Google voor Android alleen webstacks onderhield waarbij iedere vergissing meteen teruggedraaid of gepatcht kon worden. Bij een OS is een slecht begin enorm lastig terug te draaien.

Je hoeft niet klakkeloos alles te kopiŽren wat Apple doet maar er waren al een boel dingen geleerd over besturingssystemen waar niet op gelet was, ook door andere partijen.

[Reactie gewijzigd door BikkelZ op 28 november 2017 13:03]

Natuurlijk is het een teken aan de wand, los van het feit dat Google de meeste apps en downloads heeft zal het bedrijf iets moeten doen aan gatekeeping.
Als het daar enkel beter gecontroleerd zou worden zou ik het met je eens zijn, helaas is er een dictatoriaal beleid wat daar bij komt kijken voor mij een minpunt wat ik zwaarder vind wegen dan die minieme kans dat iets niet altijd goed gaat :)

Dus nee ondanks dat je dit soort dingen (mede ook door factor 4 hogere populariteit) misschien vaker hoort over de Play Store, vind ik de Play Store nog steeds veel beter, en zou ik niet willen ruilen...

[Reactie gewijzigd door watercoolertje op 28 november 2017 10:26]

Of die brengen het niet naar buiten?
En dit mensen, is waarom je dus niet alle kinderen zomaar alles moet laten doen op mobieltjes.
De pot verwijt de ketel.
Google ontdekt Google.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True