Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoek: negentien apps voor het tracken van personen bevatten lekken

In het kader van de Def Con-beveiligingsconferentie hebben onderzoekers van het Duitse Fraunhofer de resultaten van onderzoek naar 19 apps voor het volgen van kinderen of een partner gepresenteerd. Een van de apps lekte de onversleutelde gegevens van 1,7 miljoen gebruikers.

De onderzoekers, Siegfried Rasthofer en Stephan Huber, vonden in totaal 37 lekken in de 19 verschillende apps. Het gaat om gratis Android-apps waarmee ouders bijvoorbeeld hun kinderen kunnen volgen of partners elkaar kunnen tracken. De populairste app die ze onderzochten was Couple Tracker met vijf tot tien miljoen downloads. Tijdens hun presentatie zeiden ze dat ze waarschijnlijk nog meer lekken hadden kunnen vinden, maar dat ze op een gegeven moment maar gestopt zijn met zoeken. Ze hebben hun bevindingen aan appontwikkelaars en aan Google gemeld. Uiteindelijk zijn 12 van de 19 apps uit de Play Store verwijderd, al zou Google niet direct op hun meldingen hebben gereageerd.

De meest ernstige lekken deden zich voor bij de servers aan de backend van verschillende apps. In één geval hadden de onderzoekers via sql-injectie toegang tot de onversleutelde gegevens van 1,7 miljoen gebruikers, waaronder e-mailadressen en wachtwoorden. In een ander geval gaf een verkeerd geconfigureerde Firebase-server zijn volledige inhoud prijs op het moment dat de onderzoekers een verzoek deden zonder een gebruikers-id op te geven. Aan de hand van sql-injectie op weer een andere backend waren foto's van alle gebruikers in te zien, waaronder naaktfoto's. De afbeeldingen waren niet per gebruiker apart opgeslagen.

Onder de minder ernstige kwetsbaarheden waren zaken als autorisatie aan de kant van de client in plaats van op de server en het opslaan van een voorgeprogrammeerde sleutel in de app zelf. Ook gebruikten apps niet altijd een versleutelde verbinding naar de server, waardoor informatie eenvoudig te onderscheppen was. Daar komt bij dat de apps doorgaans een mogelijkheid bieden om de locatie van gebruikers door te sturen. Daarom hoorde in sommige gevallen het in real time volgen van gebruikers ook tot de mogelijkheden die de onderzoekers ontdekten. Dit was een van de voorbeelden die ze met behulp van een demo toonden. Ze hebben hun bevindingen op hun website gedetailleerd beschreven.

De door de onderzoekers bekeken apps

Door Sander van Voorst

Nieuwsredacteur

12-08-2018 • 12:02

113 Linkedin Google+

Reacties (113)

Wijzig sortering
Wat ik me wel afvraag, veel van deze trackers zijn ook te vinden in de Appstore. Zijn deze dan niet lek of hebben ze alleen de Android variant getest?
"De meest ernstige lekken deden zich voor bij de servers aan de backend van verschillende apps."

Heeft dus niets met het platform te maken. Het zou kunnen dat Apple wat kritischer is als het gaat om het toelaten van apps maar daar zou ik niet op durven rekenen.
Inderdaad dat dacht ik dus ook al. Als ik de eerste kijk, my famlity GPS tracker van prtm, dan staat deze nog steeds in de Playstore maar ook de Appstore. Zelfde geldt voor de app van KidControl Dev.

[Reactie gewijzigd door RebelwaClue op 12 augustus 2018 13:03]

Ik snap niet dat mensen een aparte app willen gebruiken, terwijl deze functie ook is ingebouwd in Google Maps.
Zodra je toegang hebt tot Google Maps (Google locatie geschiedenis), heb je ook toegang tot die e-mails, agenda etc. daar zit lang niet iedereen altijd op te wachten.
Nee hoor. Je kunt gewoon je locatie delen via Google Maps. Daar hoef je verder niets voor te delen (behalve het delen met google ;) ).
Oh wat handig... een methode die maar heel sporadisch update waarbij je soms denkt dat ie het zelfs helemaal niet doet kijk daar hebben (sommige) mensen niets aan. Heb al meermaals contact gehad met Google hierover en het lijkt erop dat de Locatie geschiedenis lang niet altijd even goed functioneert.

Nu inmiddels al ruim 4-5 maanden met Google aan de gang met beta versies mede omdat ze het zelf nog niet hebben kunnen reproduceren maar er wel meerdere mensen zijn met een dergelijk probleem.
Hier (met mijn vrouw) werkt het perfect. Update zelfs tijdens het rijden. Maar zij heeft een Moto, misschien heb jij ervaring met een iPhone waar Maps niet zo vaak mag updaten?
Eén van mijn vrienden gebruikt deze functie geregeld als hij onderweg is naar mij thuis. Ik heb het nog maar een vijftal keren of zo effectief gebruikt, maar volgens mijn ervaring update de locatie ongeveer rond de drie minuten.

Maar het is ook al eens gebeurt dat hij weigerde te updaten en dat het toch wel tien minuutjes duurde.
Nee, gewoon een Android device.
Ik heb als klein kind altijd geleerd nooit met eten (Apples) te spelen :+
Apple heeft de eigen “Vrienden” app waarmee je ook exact dit kunt doen, sta je vriend toe en die kan gewoon je locatie bekijken in real-time. Lijkt mij perfect voor kinderen en blijkbaar stellen.
Ik reageerde op @DarkForce zijn reactie dat het in Google Maps beschikbaar is. Ik wilde enkel aangeven dat er in iOS native zo’n functie is, wellicht heeft Android of bijv. Samsung daar ook een eigen oplossing voor.

Ik claimde nergens dat het voor iedereen beschikbaar is. Ik vind de app prettig werken en ik deel mijn locatie met een paar goede vrienden die ook toevallig een iPhone hebben. Ik hoef de app dan ook niet te openen om mijn locatie te delen.

[Reactie gewijzigd door s1h4d0w op 12 augustus 2018 22:58]

Google weet al genoeg van me. Ik probeer een beetje te beperken hoeveel informatie iedere dienstverlener over me heeft. Google is zo groot dat ik er eigenlijk niet om heen kan voor bepaalde zaken. Als er een goed alternatief is dan geef ik daar de voorkeur aan.

Als ik wil laten weten waar ik ben dan stuur ik simpelweg GPS-coördinaten door via chat, mail of whatever. Niet zo mooi als een automatische tracker maar wel simpel en onafhankelijk van een bepaalde aanbieder.
Werkt dat ook als één van de twee en iPhone heeft en dan zonder dat die persoon heel de tijd maps open moet hebben staan? #durftevragen
Jep, dat zou moeten werken.
oei, ik heb geen data bundel meer... offline kaarten
Kritisch op de app zelf wellicht, enkel is het voor Apple ook niet rendabel om handmatig een security sweep op alle front en backends te gaan doen. Een geautomatiseerde scan gaat toch niet alles eruit plukken.
Niet alles in Apples walled garden is veilig. Het is geen absolute garantie. Je moet zelf nagaan of een app veilig is. Als je dat niet kunt beoordelen (wat ik zelf ook niet zou kunnen al ben ik programmeur) moet je geen apps gebruiken die toegang tot je locatie vragen. Of je contactenlijst. Of de camera of microfoon van je telefoon. Eigenlijk kun je op android het beste alleen de systeem apps zoals de webbrowser gebruiken (met locatiegegevens uit in de settings), op een rooted telefoon met een open source custom rom waar de spyware van google en de fabrikant uit zijn gesloopt. Dus GEEN play apps. Geen play store. Geen google now. etc.

Bij Apple is dit niet mogelijk. Als je bij Apple zit moet je Apple vertrouwen.
Bij veel android telefoons ook niet omdat niet genoeg mensen het model hebben en er geen afdoende geteste custom roms zijn. Genoeg roms op xdaforums kunnen ook vol zitten met spyware.

Ik wacht op een mobiel met een linux distro er op. Tot die tijd geef ik geen geld meer uit aan smartphones. Betalen om je te laten bespioneren. Ammehoela.

[Reactie gewijzigd door Origin64 op 12 augustus 2018 13:38]

Ik wacht op een mobiel met een linux distro er op. Tot die tijd geef ik geen geld meer uit aan smartphones. Betalen om je te laten bespioneren. Ammehoela.
SailfishOS op een Sony Xperia X. Werkt prima. Je hebt ook een Android VM er op waarmee je vrijwel alle Android apps kan draaien.

ps. Ik ben zoals jij ook programmeur en ik heb meegewerkt als contractor aan SailfishOS. Er draait zo ver ik weet geen spyware op SailfishOS. Het is een vrij normale RPM gebaseerde Linux distro (gebaseerd op merproject.org). Je hebt er zowizo root op en je kan packages gewoon installeren en uninstalleren. Ook de systeempackages. Zoals je gewoon bent op een RPM gebaseerde Linux distro (dus met rpm -e, en rpm -Uvh, je kent het wel). Niets speciaal aan. Gewoon Linux. Zoals je gewoon bent.
Is er ergens een lijst met telefoons waarvoor werkende sailfish roms zijn?
Op de wiki staat wat, is dit een beetje volledig? https://en.wikipedia.org/...evices_from_other_vendors
Ik wil graag de goedkoopst mogelijke telefoon waar het op draait dus ik wil de langste lijst om te zoeken :P

[Reactie gewijzigd door Origin64 op 12 augustus 2018 22:43]

Als je echt ondersteuning wil en garantie dat het werkt, zijn he de Jolla en de Sony XPeria X
Die is te groot, ik wil een klein scherm, 4.5" max
edit: okay gevonden https://wiki.merproject.org/wiki/Adaptations/libhybris

[Reactie gewijzigd door Origin64 op 12 augustus 2018 23:26]

Je kunt bij Apple ook alle locatiezooi uitzetten hoor ... en mic/camera etc dichtzetten, ook per app.
Heb je ook maar enige aanwijzing dat Apple dat doet? Apple verkoopt hardware en bijbehorende services. Geen advertenties, in tegenstelling tot de maker van het grootste alternatieve mobiele os. Apple heeft er geen belang bij je te tracken.
Je kan altijd een gratis app gebruiken waarvan het verdienmodel is dat ze je locatie gegevens verkopen. Dan kan je er tenminste op vertrouwen dat je gegevens verkocht worden. Wel zo prettig toch?
Genoeg redenen om apple het voordeel van de twijfel te geven hierin. Begin maar eens met het doornemen van hun privacyverklaring: www.apple.com/privacy.
"Bekijk het maar" zult u denken. In dat geval ook maar even alle posts matigen hier...

En denk maar niet dat de apple-volgelingen het zullen pikken als men daar het ene zegt en het andere doet.
pple hoeft zijn geld niet te verdienen aan het verkopen van de gegevens/privacy van haar klanten, daar zorgt bijv. een 1000+ dollar stuk hardware wel voor. Dit itt. Google waar men juist aan de gegevens van z'n klanten verdient.
Het is en blijft een niet te verwaarlozen verschil!
Ik geef ze ook zelf het voordeel van de twijfel, het punt is alleen dat je apple moet vertrouwen. Ik zeg niet dat ze onbetrouwbaar zijn. Ik hou er alleen niet van om mensen te vertrouwen met zoveel data. Net zoals je zou kunnen zeggen, de aivd is te vertrouwen, dat zijn goede mensen, die zullen hun macht niet misbruiken. Zelfs als ik dat helemaal zou geloven, vind ik alsnog de wiv een slecht idee. Je weet namelijk niet, wat er in de toekomst gaat gebeuren, wie er dan toegang krijgt tot die data. Het feit is dat als apple (of een bepaalde overheid) daar zin in heeft, ze een verplichte update kunnen pushen waarmee ze toegang krijgen tot jouw device, en als je die niet installeert brickt het hele apparaat. Google kan dit ook met android. Kwestie van google framework versie ver genoeg ophogen en geen updates toestaan voor apps tenzij je het OS updatet. Dan blokkeren alle apps. Deze feature is bij android uiteraard ingevoerd onder het mom beveiliging, we willen immers niet dat mensen oude onveilige versies van apps of het OS draaien. Het grotere gevaar wordt genegeerd.

o.a.hierom wil ik geen ios of android telefoon meer. Of windows 10 op mn pc. Ik bepaal welke versie van een programma ik draai op mijn computer. Als je daar te veel aan gaat zitten klooien komt het bestaan van general purpose computers en daarmee een vrij internet etc in gevaar. Ik zie Google, MS, Apple, allemaal hard aan de weg timmeren om dit kapot te maken. Aan vrije mensen kun je minder verdienen. Op de korte termijn althans, in de zero sum game die die grote bedrijven spelen.

[Reactie gewijzigd door Origin64 op 13 augustus 2018 16:02]

Waarom bestaan zo'n apps eigenlijk? Dat zit toch gewoon al een eeuwigheid standaard in iOS? Find my friends.
Niet iedereen heeft/wil een iPhone. Cross-platform kan ook handing zion.

Ook hebben deze apps waarschijnlijk meer features, zoals geschiedenis (zodat je kunt controleren of je kinderen direct naar huis zijn gegaan, of via een omweg)...

(Overigens is de vraag of dat soort features wenselijk zijn, maar dat is wel de reden waarom je meer dan alleen f-my-f wil.

[Reactie gewijzigd door Keypunchie op 12 augustus 2018 20:04]

Yikes! Ben ik blij dat dat al dat soort dingen niet bestond toen ik kind was.
Zodat de eigenaars van die apps privacy-data van de gebruikers van die apps kunnen mijnen om er geld mee te verdienen.
Bij all access data, ja. Bij client side vulnerability, waarschijnlijk.
Tijd dat er een veiligheidskeurmerk komt dat vooraf wordt toegekend (of niet) na uitgebreid onderzoek door een onafhankelijke partij en dat er niet meer gewacht wordt totdat een slimmerik alle lekken weet te vinden. Het begint er behoorlijk op te lijken dat (bijna) alle software lekken heeft als je maar goed zoekt.
Nee, het is tijd dat mensen stoppen met apps installeren die constant hun locatie tracken, en dat we ook gaan verbieden dat bedrijven (zoals Google en de bedrijven die deze apps maken) die data continu verzamelen. Het is een enorm risico. Moet verboten worden.

[Reactie gewijzigd door Origin64 op 12 augustus 2018 13:32]

Mijn vriendin en dochters zijn er anders erg blij mee, zo kunnen we wanneer we willen kijken of de ander al in de buurt is en of we nog ff een boodschap kunnen doen. Daarbij of de dochters op tijd thuis waren bij papa, waar ze wat ruimer omgaan met bedtijden, etc. Gelukkig is het onze eigen keuze om het te gebruiken en voor de meiden verplicht als ze een smartphone willen houden
voor de meiden verplicht als ze een smartphone willen houden
Ik schets de situatie in mijn eigen woorden: je verplicht de kinderen van een andere man te kiezen tussen privacy of een sociaal leven hebben op een leeftijd waarop ze niet in staat zijn die keuze te maken. Ik zou daar ernstige bedenkingen bij hebben als ik de vader was.
Ze moeten helaas een smartphone hebben om sociaal mee te kunnen doen, ze worden al 24/7 getrackt door de overheid en de mobiele provider en Google en de fabrikant van hun telefoon, of door Apple als ze een iPhone hebben, en door de makers van de meeste apps die ze installeren, en jij doet daar nog een schepje bovenop door ze te verplichten hun locatiegegevens af te staan aan nog een partij die security nog minder serieus neemt, waarbij for all you know letterlijk elke script kiddie op het internet ten allen tijden kan zien waar die andere vent zijn kinderen zich bevinden. Onder het mom van "het is toch lekker makkelijk met boodschappen doen". Lekker veilig.

Maar inderdaad, het is gelukkig jouw keuze om ze aan te leren geen waarde aan privacy te hechten en ik heb daar geen invloed op of verantwoordelijkheid voor. Ik kan roepen dat dit heel gevaarlijk is maar daarmee ga je het nooit eens zijn. Dat zijn alu hoedjes verhalen enzo. Dus ik zal proberen me niet op te winden.

Maar ik zal je wel eerlijk zeggen wat ik denk bij jouw verhaal: het zal mijn kinderen niet gebeuren, als ik ze krijg. Die gaan begrijpen dat wat op het internet komt, nooit meer verdwijnt, en dat die data heel veel informatie geeft die je tegen iemand kan gebruiken. Die gaan leren dat je daar voorzichtig en bewust mee om moet gaan. Het is tegenwoordig al zo dat carrieres kapot worden gemaakt omdat iemand iets dat niet politiek correct is zegt in een private whatsapp groep. En dan hebben we het nog niet over echte criminaliteit als identiteitsdiefstal. Je moet je kinderen leren niet alles te delen. Anders verzaak je je plicht als ouder. De digitale wereld is ook gevaarlijk.

Er zijn letterlijk mensen op deze planeet die dom genoeg zijn om een foto van hun credit card op het internet te zetten, omdat ze niet zijn opgevoed met enige waardering voor privacy. Is dat een okay voorbeeld van hoe het fout kan gaan, zonder dat ik er allerlei enge dystopische toekomstbeelden bij haal?

[Reactie gewijzigd door Origin64 op 12 augustus 2018 15:02]

Je hele verhaal is onzin, want je zegt zelf al dat je geen kinderen hebt. Zodra je ze wel hebt wordt een hoop van je denkwijze echt veranderd en wil je alles doen om ze te beschermen. Overigens zijn het dus niet de kinderen van een andere man, maar ook jouw kinderen, en vaak doe je dit dan in overleg met je ex.
Je beschermt ze niet, door een app op de telefoon te zetten waarmee voor zover bekend jan en alleman kunnen zien waar dat kind is.
Jan en alleman kunnen niet zomaar zien waar je kind is, daar moet men eerst nog een hoop voor doen (zoals al weten welke app gebruikt wordt, dan nog de boel kunnen hacken, want ook dat verschilt per app).
En wacht maar tot jij het zelf eens meemaakt dat je kind niet thuis komt en je dan niet kunt zien waar die is, dan piep je wel ineens anders. Maargoed, zolang je zelf nog geen kinderen hebt kun je daar niet over oordelen.
In één geval hadden de onderzoekers via sql-injectie toegang tot de onversleutelde gegevens van 1,7 miljoen gebruikers, waaronder e-mailadressen en wachtwoorden.
Daarvoor hoef je niet echt een hoop te doen. Je vraagt de hele database op, die krijg je, dan kun je inloggen op de email etc van gebruikers want mensen gebruiken maar 1 wachtwoord, dan kijk je wie wie is, van wie je kunt stelen, wie accounts heeft op webshops, wie er naaktfotos op zijn google drive heeft staan. je kunt zien waar die mensen zich bevinden. Wanneer je in hun huis kunt inbreken. Ik vind dat best wel eng.

Als je kind niet thuiskomt, dan kun je toch bellen? Voor die gps tracking app moet de telefoon ook aanstaan. Je maakt toch ook afspraken zoals dat ze als ze uitgaan om 1 uur thuis moeten zijn, niet alleen naar huis moeten fietsen, bellen als er iets mis gaat.

Je lost het ene probleem op, dat je soms niet weet waar je kind is, en creeert een ander probleem, dat een ander soms ook weet waar je kind is.

[Reactie gewijzigd door Origin64 op 13 augustus 2018 13:50]

Ja, want 'jan en alleman' kan dat zomaar, zelfs voor sql-injection komt echt specifieke kennis bij kijken, en dan moet dus toevallig wel die persoon die jij wilt volgen van die betreffende app gebruik maken.
Als je kind niet thuiskomt, dan kun je toch bellen? Voor die gps tracking app moet de telefoon ook aanstaan. Je maakt toch ook afspraken zoals dat ze als ze uitgaan om 1 uur thuis moeten zijn, niet alleen naar huis moeten fietsen, bellen als er iets mis gaat.
Duidelijk dat jij geen kinderen hebt. Jij was zeker zelf een heilig boontje dat je alles deed wat jou ouders zeiden en vroegen.
Nee, maar als ik niet doorgaf dat ik niet thuiskwam hadden mijn moeder en ik daar een stevig gesprek over de volgende dag waarbij ze mij uitlegde dat ze dan heel bezorgd was en dat dat heel vervelend is, om niet te weten wat er aan de hand is. Na een keer of 20 ging ik daar beter op letten. :P
En wat dan als je dus die ene keer niet thuis komt.........
Dan kom je niet thuis. En als je dan je telefoon niet opneemt, weten je ouders niet waar je bent. En die gaan jou dan leren communiceren, als je weer thuis komt. Ja, er kan dan iets ergs zijn gebeurd. Maar dat voorkomt die app niet. De kans dat je bij een vriend thuis van de trap valt en je nek breekt is 10x groter dan dat je op de fiets onderweg wordt doodgereden oid. Daar maken ouders zich vreemd genoeg geen zorgen om...Als je een nacht bij iemand blijft slapen hoef je 's ochtends niet te bellen dat je de nacht hebt overleefd en niet bent overleden tijdens een dronken poging een trap af te lopen in het donker om te gaan pissen. Maar o wee als je uit gaat, dan kun je blijkbaar elke seconde spontaan dood neervallen. Het verplicht installeren van zo'n app zie ik als een beetje krampachtige drang naar controle die alleen maar uit angst voorkomt, het is irrationeel. Als je al die energie steekt in je kind opvoeden ben je een stuk productiever bezig lijkt me.

[Reactie gewijzigd door Origin64 op 13 augustus 2018 14:06]

@Origin64 je maakt eigenlijk geen enkel punt en lijkt deze post meer te gebruiken om een algemeen gevoel van frustratie te uitten dat anderen niet leven zoals jij dat wil.

Het topic is dat er apps zijn die diensten aanbieden om te tracken en dat een aantal van die apps niet veilig met persoonsgegevens blijken om te gaan. Deze apps horen wat mij betreft niet op het internet en hadden niet in de store mogen staan vanwege overtreding van het beleid van google. Maar het onderwerp is niet dat dus alle tracking apps privacy zouden schenden en gevaarlijk zijn. Dat is een volstrekt ander verhaal. Ik denk dat google verplicht zal moeten zijn om de gebruikers van deze apps met kwetsbaarheden in te lichten dat ze risico liepen of lopen. Maar dat maakt nog niet dat er geen keuzevrijheid hoeft te zijn om van diensten gebruik te maken die wel aan de voorwaarden of wetgeving voldoen.

Jij haalt er van alles en nog wat bij om maar te kunnen bashen op mensen die in ruil voor hun privacy diensten gebruiken. En dan ook weer met een vooringenomen houding dat mensen die niet leven zoals jij dom zijn, zaken over het hoofd zien en fout bezig zijn.

Het lijkt mij prima als jij en ik geen behoefte hebben aan het gebruik van software en tools die tegen betaling van onze privacy diensten levern. Maar we leven ook in een vrije wereld waar jou of mijn levensstijl die van jou en mij zijn en we anderen ook in hun waarde moeten laten. En bij die vrijheid hoort ook het kunnen maken van keuzes, al dan niet bewust, en het maken van keuzes voor een ander als die nog niet volwassen is. Jou risico is niet altijd het risico van een ander en andersom.

[Reactie gewijzigd door kodak op 12 augustus 2018 21:41]

Ik ben inderdaad gefrustreerd. Ik kan iemand heel moeilijk in zijn waarde laten, die andermans kinderen verplicht een app op hun telefoon te zetten waarmee die man en god weet wie nog meer de hele dag kan zien waar ze uithangen. Het is een raar idee. Mijn ouders zijn gescheiden, misschien raakte het me daarom meer. Het lijkt me nogal wat als de nieuwe vriend van je moeder je zo gaat lopen controleren. Ik zou die telefoon weigeren te gebruiken. Lekker thuis laten liggen.

Het punt is: Google is niet verplicht om een veilige omgeving aan te bieden. Het internet is niet veilig. App stores zijn niet veilig. Spyware kan pas weggehaald worden als het is gedetecteerd. Je kunt ook jezelf een beetje beschermen. Het gaat hier maar om een locatie app zoals je zegt, het gaat mij om de hele houding. Installeer de app maar gewoon. Alle rechten geven geen probleem. Waarom wil een locatie app mijn contacten lijst. Lekker boeiend gewoon klikken.

Voor zover je weet is dat ding ontwikkeld door een pedo die het gebruikt om kleine meisjes te bespioneren. En de telefoonnummers van hun vriendinnetjes te krijgen. Dat is natuurlijk niet zo, dat snap ik ook wel. Maar je snapt wat ik bedoel. Men denkt er niet over na omdat het op een computer gebeurt. Het gaat nog wel een hele generatie duren voor dat verandert vrees ik.

En het uiteindelijke punt is: gebruik in godsnaam voor iets privacy gevoeligs als locatie tracking een open source app die onderzocht is, dan ligt je data niet meteen op straat.

[Reactie gewijzigd door Origin64 op 12 augustus 2018 22:30]

Ik ben inderdaad gefrustreerd. Ik kan iemand heel moeilijk in zijn waarde laten, die andermans kinderen verplicht een app op hun telefoon te zetten
Wiens andermans kinderen? Het gaat hier om eigen kinderen... Tuurlijk is het te gek voor woorden als bv een school zou eisen dat de kinderen een app installeren zodat zij hun kunnen volgen (om maar een voorbeeld te noemen). Maar de situatie met een ex gaat nog altijd om 2 ouders en hun eigen kinderen, en dat is dan tussen die 2 ouders om te bepalen wat ze doen.

En een opensource app geeft ook geen garantie dat het 100% veilig is, want hoe weet je dat de app compleet onderzocht is op ALLE! veiligheidslekken, iets wat vandaag veilig lijkt, kan morgen hardstikke onveilig zijn. Wie garandeert dat degene die zogenaamd de code heeft onderzocht wel degelijk heeft gekeken? Garanties kun je NOOIT krijgen. Maar zelf ben ik wel iemand die niet snel een app zal installeren als er maar een paar mensen deze in gebruik hebben.
Als je een open source app gebruikt die onderzocht is dan heb je iig nog moeite gedaan. Maar inderdaad ook dat is niet veilig. Daarom zeg ik dat je dit soort apps niet moet gebruiken.
tja, dan moet je dus geen apps gebruiken, want ook andere apps kunnen jou gewoon tracken.
Als ze geen toegang tot gps mobiel netwerk etc. nodig hebben dan is het toch veilig.
think again. er zijn meer manieren.
Voor google ja, niet voor willekeurige app devs.
Waarom is uw dochter er blij mee dat ze online gevolgd wordt? Kan de vader er mee lachen dat je ook zijn privé leven trackt? Of werkt het in beide richgtingen?
Origin heeft zich gelukkig geen moment afgevraagd wie ze verplicht heeft, ik of mijn vriendin. Daarbij kunnen ze mij ook tracken, ik heb daar geen moeite mee.
Ga je je nou serieus achter je vriendin verschuilen? Die snapt waarschijnlijk de ballen van computers. Wees een vent. Jij hebt deze beslissing ook gemaakt. Niet gaan zitten duiken.

[Reactie gewijzigd door Origin64 op 14 augustus 2018 11:41]

Oh, je speelt het op de man nu? Ieder mag bepalen of hij of zij er gebruik van wil maken, omdat de risico's opwegen tegen het veilige idee van kunnen zien waar (in dit geval) haar dochters zijn als ze thuis hadden moeten zijn of niet reageren op telefoon of berichtje. Of niet.

En @Coolstart : Het werkt inderdaad in beide richtingen. We hebben er vorige week in Disneyland ook dankbaar gebruik van gemaakt door de oudste in haar eigen attracties te kunnen laten en zij andersom kon zien of wij al in de buurt van het afgesproken punt waren of ze nog een winkeltje in kon gaan.
Dus dan ook geen Gps apps meer? Bij Apple staat tracking (always on - while using the app) standaard uit. Je moet de App zelf toegang geven in de Privacy settings. Je kan nakijken welke app locatie gegevens gebruikt en wanneer dat gebeurde en je krijgt na een tijdje een pop-up of je nog wel interesse hebt in de push notificaties en dat je bewust bent dat een App u tracked.

Waar we nood aan hebben is geen verbod maar een Europees orgaan dat net zoals een voedselagentschap (vlees, vis, melk...) penetratietesten doet op Europese servers en Apps. Paar euro boete per persoon van wie gegevens op straat liggen. Pas dan gaat men security serieus nemen.

Software is 100% dicht te timmeren en zolang bedrijven dit niet serieus nemen blijven er poorten open staan. Encryptie is encryptie, het is indien goed ingesteld onhackbaar.

Ik stel me wel wat vragen bij Google. Hoeveel mensen zijn er niet die Android gebruiken in combinatie met Google search, gmail en chrome en Google image gallery ai bot, Google maps etc? Wetende dat google geen geld verdient op hardware en software en 99% op advertisement kan je u de vraag stellen of dat wel gezonde situatie is.

Al wie Google maps gebruikt moet eens linksboven op menu klikken en naar ‘timeline’ gaan. Dan merk je pas dat Google alles weet. (M

[Reactie gewijzigd door Coolstart op 12 augustus 2018 15:42]

Dus dan ook geen Gps apps meer? Bij Apple staat tracking (always on - while using the app) standaard uit. Je moet de App zelf toegang geven in de Privacy settings. Je kan nakijken welke app locatie gegevens gebruikt en wanneer dat gebeurde en je krijgt na een tijdje een pop-up of je nog wel interesse hebt in de push notificaties en dat je bewust bent dat een App u tracked.
Dat is in Android hetzelfde. Elke app moet om locatie permissie vragen.
Software is 100% dicht te timmeren en zolang bedrijven dit niet serieus nemen blijven er poorten open staan. Encryptie is encryptie, het is indien goed ingesteld onhackbaar.
Dat hou je toch, de attack surface is te groot. Celebrite komt ook nog steeds in elke iPhone en ook Graykey heeft er geen moeite mee.
Ik stel me wel wat vragen bij Google. Hoeveel mensen zijn er niet die Android gebruiken in combinatie met Google search, gmail en chrome en Google image gallery ai bot, Google maps etc? Wetende dat google geen geld verdient op hardware en software en 99% op advertisement kan je u de vraag stellen of dat wel gezonde situatie is.

Al wie Google maps gebruikt moet eens linksboven op menu klikken en naar ‘timeline’ gaan. Dan merk je pas dat Google alles weet. (M
Dan zet je Google Maps helemaal uit en installeer je Nokia Here. Of een van de andere 300 apps voor navigatie?

edit: Ik heb net even op die tijdlijn geklikt trouwens en er staat: "Nu inschakelen of nee bedankt. Dus nee, ook die vlieger gaat niet op.

[Reactie gewijzigd door dehardstyler op 12 augustus 2018 18:43]

Ja ik las het artikel ja, ik moet dat inderdaad eens gaan bekijken ja!
Moet helemaal niet. Je geeft zélf die permissies aan die apps met je volle verstand. Ik wil dit soort functionaliteit juist wél hebben.
Sorry, maar wie ben jij om dat te beslissen? Zeker voor ouders kan ik me voorstellen dat je dat installeert op de phone van je kleine kind (tja tegenwoordig hebben kleine kinderen er ook al vaak 1).
Als mensen zelf dit willen i stalleren, dan moeten ze dat zelf weten en niet iemand als jij die dit gaat verbieden. Laten we anders maar gewoon de hele smartphone verbieden, immers is die bv ook te tracen als je een beetje moeite doet.
Ik ben iemand die zich al langer zorgen maakt dat kinderen in dit land worden opgevoed om geen waarde aan privacy te hechten. Alsof ze erop worden geconditioneerd. Om de weg vrij te maken voor steeds meer controle. Overal cameras moeten we maar normaal vinden. Geen cash betalingen meer. Nummerbordherkenning op de snelweg. Straks met gereguleerde zelfrijdende autos is dat overbodig, uploadt elke auto elke seconde zijn locatie naar de overheid. Je telefoon doet het nu al. Dat moeten we normaal vinden.
https://www.ed.nl/eindhov...-politie-helpen~a1e8acee/
Dit moeten we normaal vinden.

De smartphone is niet de oorzaak van het probleem. Mensen zijn de oorzaak. Met hun datahonger.

[Reactie gewijzigd door Origin64 op 12 augustus 2018 22:37]

Zelfs met zo'n localiseringsapp kan je je kind goed opvoeden met waarde te hechten aan privacy.. En tja, smartphone gebruik, ik irriteer me mateloos aan mensen die constant alles maar filmen, want tja je staat ergens in een openbare ruimte dus dan kan dat zomaar zonder problemen.
Zelf ben ik niet zo'n smartphonejunkie, maar ik irriteer me dus wel ook aan al die anderen die hun smartphone nog geen seconde kunnen laten liggen, vooral in het verkeer.
Het is niet eens de 'datahonger' maar voornamelijk het 'gemak'.
En da's eigenlijk nog erger....
Ken zelf ook lieden die zich voorheen bewust leken te zijn van het risico je hele leven maar aan Google over te dragen. Sinds die meeluisterzooi van ze en bijv. Google Now ("krijg ik 's ochtends heel makkelijk te horen of er file staat") gooien ze alles over de Google-schutting omdat het ze gemak geeft.

Verder totaal met je eens.
En nog even en jij bent met je kritische houding een privacy-deuger (maw.: mond houden en meedoen!).
Software is niet 100% veilig te krijgen, zolang je er maar genoeg tijd en geld insteekt is alles te “hacken”. Bij een keurmerk zou je moeten beslissen wat “veilig” is en dat is vrijwel niet te doen. Is dus helaas niet zo simpel als het lijkt.
Bij een keurmerk zou je moeten beslissen wat “veilig” is en dat is vrijwel niet te doen. Is
Maar onversleuteld lekken is duidelijk een gevalletje van niet-keurmerkwaardig.
Sowieso moeten we tracken van personen wantrouwen.
Ik mis 'naming and shaming'. Om welke apps gaat het????
Hebben de onderzoekers ook verteld hoeveel apps ze in totaal getest hebben en bij hoeveel er geen fouten zijn gevonden? De onderzoekers geven aan dat ze een selectie van populaire apps hebben gemaakt en dit de bevindingen zijn van wat ze hebben gevonden. Het is aardig om te weten welke apps ze dan nog meer onderzocht hebben die blijkbaar veiliger waren.
Waar ik aan ga denken is dat het mogelijk om bepaalde bilbliotheeks gaat waar de fout inzit.

Dan wordt het kwestie van apps opzoeken waar dat in is gebruikt.
Ik heb het onderzoek snel gescant en kan inderdaad niet achterhalen of ze ook apps hebben getest die wel goed functioneren.
Uiteindelijk zijn 12 van de 19 apps uit de Play Store verwijderd, al zou Google niet direct op hun meldingen hebben gereageerd.
Wat ik me bij zoiets dan afvraag hoe dat kan... Of de onderzoekers hebben op een verkeerde manier contact gezocht met Google. Maar gezien hun kennis en achtergrond lijkt me dat sterk. Of Google pretendeert veiligheid/privacy hoog in het vaandel te hebben maar reageert traag op meldingen die een acute reactie vereisen. Dat is natuurlijk heel apart voor een bedrijf zoals Google, met aparte afdelingen hiervoor.
Of Google pretendeert veiligheid/privacy hoog in het vaandel te hebben
You had me at hello :P
En toch zie ik de bekendste Life360 er niet bij staan.
Waarom willen al die ouders de locatie van hun kinderen constant tracken? In mijn tijd bestond dat niet, wij hadden zelfs geen GSM en wij leven nog.

Aan alle ouders die de locatie van hun kind tracken met een app: kijk eens naar de Black Mirror aflevering Arkangel.
Waarom willen al die ouders de locatie van hun kinderen constant tracken? In mijn tijd bestond dat niet, wij hadden zelfs geen GSM en wij leven nog.
Precies dit. Al zullen er af en toe wel uitzonderlijke situaties zijn, maar 9 van de 10 keer is het overbodig...
Je moet wel een volslagen idioot zijn om te overwegen zo'n app te gebruiken. Er bestaan ook echte GPS zenders die worden ontworpen door bedrijven die security wel serieus nemen. Maar ja dat kost natuurlijk meer dan een app van een paar euro.
Er bestaan ook apps waar niets mis mee is voor een paar euro.
Maar je kunt het verschil niet zien op de pagina in de app store
Eigenlijk vind ik dat het grootste probleem. Dat geldt niet alleen voor dit soort locatiediensten maar voor alle software. Meestal is het onmogelijk om iets over de veiligheid of algehele kwaliteit te zeggen. Zeker niet voor 'gewone' mensen zonder programmeer- of beveiligings-achtergrond.
Tijd voor een APK of Kema keuring voor software.
Wie moeten dat zoal controleren.... Google? Wat denk je ervan om de makers van apps eens verantwoordelijkheid te laten nemen en hen te verzoeken om een externe partij in de arm te nemen en de veiligheid van de "app" onder de loep te nemen ?

Voortbordurend op je eerdere uitspraak "je moet wel voslagen idioot zijn om een app te installeren vanuit de App Store, zonder op voorhand eerst op internet reviews/ervaringen te hebben gelezen en gezocht te hebben of de app überhaupt veilig is".

Ergens... ligt de verantwoording niet in eerste instantie bij de gebruiker van het device en de maker van de app ?

Toch nogmaals... wie moet de veiligheid controleren en tot op welke hoogte? Google? Alsof ik Google toegang zou willen geven tot mijn back-end om te kijken of die wel überhaupt veilig is. Dan kan ik net zo goed alles wel op straat neergooien. Ooit wel eens gehoord van "bedrijfsgeheim", ook een back-end (functionaliteit) valt daar veelal onder.
Nee, je moet het zelf controleren. Closed source gps tracking app is automatisch een nope. Dat is gewoon niet veilig. Niet gebruiken. Tenzij je snapt dat je wordt getrackt en dat die data op straat ligt, en dat niet erg vindt. Dat kan ook.

[Reactie gewijzigd door Origin64 op 12 augustus 2018 22:03]

Er zijn ook open-source varianten zoals OwnTracks

Hier zou ik ook veel meer vertrouwen in hebben. Zeker omdat je ook je eigen server kan gebruiken.
Closed source gps tracking app is automatisch een nope. Dat is gewoon niet veilig. Niet gebruiken.
Dus jij gaat de gemiddelde consument leren wat closed-source en open-source is. Hoe ze de veiligheid kunnen controleren en daarmee direct panisch maken omdat "Windows" en "iOS" closed-source en dus niet gebruikt moeten worden.

Kijk en daar ga je dus precies mank. Het is onmogelijk onderscheid te maken wat veilig is en wat niet als je dit baseert op open- of closed-source. Bedrijven zullen nimmer hun bedrijfsgeheimen publiceren noch delen met partijen die daar helemaal niets mee te maken hebben. Ik zie het al voor mij dat ik een specifieke dienst opbouw en Google (of enig ander) toegang moet bieden voor controle op veiligheid. Wie garandeert "mij" als bedrijf dat Google niet er met wat aanpassingen vandoor gaat met iets wat erop lijkt met niet precies het zelfde is. Wie garandeert mij dat Apple niet precies het zelfde doet? Menig feature die wordt geboden in beide OS's is linksom of rechtsom wel iets dat ergens op lijkt maar het net niet (helemaal) is.
Tenzij je snapt dat je wordt getrackt en dat die data op straat ligt, en dat niet erg vindt.
Zie jij mensen met aluhoedjes op straat rondlopen? Niet iedereen is zo zwart/wit denkend met de angst dat iets wel eens opgeslagen wordt op een server. Wat zeg ik... wat doe jij überhaupt op internet als je bang bent dat bepaalde data wel eens heel misschien kan uitlekken. Sure er zijn rotte appels maar om nu al die diensten zo zwart/wit te bekijken en als "slecht" te bestempelen.
Kijk en daar ga je dus precies mank. Het is onmogelijk onderscheid te maken wat veilig is en wat niet als je dit baseert op open- of closed-source. Bedrijven zullen nimmer hun bedrijfsgeheimen publiceren noch delen met partijen die daar helemaal niets mee te maken hebben.
Volgens mij spreek je jezelf hier tegen.
Er bestaan ook tracking apps van bedrijven die security wel serieus nemen en er bestaan ook gps trackers van bedrijven die security niet serieus nemen. Dus wat is je punt? Ik denk dat het vooral een kwestie is dat gebruikers hoe dan ook voor een aankoop bedenken wat er mis kan gaan en voor wie.
Mijn punt is dat mensen die dit soort apps gebruiken niet al te snugger zijn, en dat zij niet in staat zijn dit te bedenken, anders zouden ze die app niet gebruiken. Dit moet keihard gereguleerd worden.
Ik denk dat het in het algemeen al niet verstandig is om andere mensen maar lukraak te beschuldigen dat ze niet goed bij hun hoofd zijn of niet al te snugger zijn omdat ze iets doen wat jij wil. En ook niet om dat te verkondigen op basis van een vooringenomen houding dat die mensen maar moeten denken zoals jij dat doet.

Om bij het onderwerp te blijven: Het is bijzonder kwalijk dat apps met dit soort fouten in de app store verschijnen. Als een app store regels heeft maar die het zelf niet na leeft is een goede eerste vraag hoe het komt dat dit bestaat en wanneer het acceptabel is dat apps door de controle komen.
De app store kan wel regels hebben. Een maatschappij heeft ook regels. Sommige mensen houden zich niet aan de regels. Je moet jezelf daartegen beschermen. Als je dat niet doet, kun je wel de maatschappij of de app store de schuld geven, maar je zit zelf met de consequenties. Jouw data ligt op straat. Daar ligt bij Google niemand wakker van. Je moet dat soort apps vermijden of accepteren dat er een goede kans is dat je locatie publieke informatie is.

[Reactie gewijzigd door Origin64 op 12 augustus 2018 14:39]

Mensen die anderen veroordelen zouden misschien eerst eens moeten leren om te zien en begrijpen waarom anderen dit soort apps nemen. Anderen om een dergelijk besluit veroordelen zijn pas achterlijk!
Nee want ik snap hoe computers werken. Dit is een slecht idee. Als jij jouw locatiegegevens het internet op stuurt, moet je het vanaf dat moment als publieke data zien want jij bent de controle kwijt.

[Reactie gewijzigd door Origin64 op 12 augustus 2018 14:37]

Dat ligt eraan; Google zegt nergens dat ze mijn locatieinfo direct ter beschikking stellen behalve aan mijzelf. Daar vertrouw ik ze mee.

Apple net zo. Die hebben geen baat bij mijn locatieinformatie. Het is niet hun core business.

Als ze vervolgens gehacked zouden worden, dán heb ik de mogelijkheid om een zaak aan te spannen.
Ja je kunt dan een zaak aanspannen daarmee krijg je je data niet terug.
Lekker zwart/wit....

Mensen gaan ervan uit dat hun data veilig is en bedrijven hun verantwoordelijkheid nemen net zoals consumenten dat over het algemeen proberen. Dat niet ieder bedrijf hun zaakjes op orde heeft kun je de consument niet verwijten.

De consument kiest bewust voor een app waarbij de locatie wordt bijgehouden en in sommige gevallen kan ik mij dit ontzettend goed voorstellen.
moet je het vanaf dat moment als publieke data zien want jij bent de controle kwijt.
Dat is een bewuste keuze van de consument en de consument is niet zo achterlijk als jij denkt. Net zoals menig consument verdomd goed weet dat een "gratis" app vaak voorzien is van reclame en dus eigenlijk helemaal niet zo gratis is.
Ja je kunt inderdaad ook nog bewust kiezen om je locatie openbaar te maken. Ik denk dat de meesten het alleen niet hebben overwogen. Die zien gewoon een app en denken oh das makkelijk.

[Reactie gewijzigd door Origin64 op 12 augustus 2018 22:12]

Van de hoeveel? Of zijn dit ze allemaal?
Wel ernstig, vooral de serverside en met name de SQL injection en de wachtwoorden die te lezen zijn.
Dat is zo anno 2001

Hier zouden best wetten voor mogen komen, dat je wachtwoorden verplicht zodanig moet opslaan dat ze niet te herleiden zijn bij een lek van de data. Dat is zo makkelijk ook, er zijn zoveel opensource mogelijkheden om dit gratis goed te doen. Sterker nog, als je hier opensource voor gebruikt neemt het vaak zelfs werk uit handen en kun je meer tijd aan andere zaken in je code besteden.
Hier zouden best wetten voor mogen komen, dat je wachtwoorden verplicht zodanig moet opslaan dat ze niet te herleiden zijn bij een lek van de data.
In de AVG/GDPR is al opgenomen dat opgeslagen persoonsgegevens technisch adequaat beschermd moeten worden.
Oef.. nu je het zegt.. dat wist ik.. 8)7
Ik begrijp waarom partners elkaars locatie constant in de gaten zouden willen houden??

Wat voor een verstoorde relatie heb je dan wel niet?! En, nog belangrijker, waarom duurt de relatie nog steedsvoort? 🙃
Apple biedt een eigen app die hier perfect voor is - Zoek vrienden. Wel 100% veilig en je bent niet overgeleverd aan de eventueel schimmige privacy policy van een 3rd party ontwikkelaar.

[Reactie gewijzigd door nms2003 op 12 augustus 2018 15:02]


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True