Trend Micro: onze macOS-apps stalen browsergeschiedenis 'per ongeluk'

De macOS-apps van beveiligingsbedrijf Trend Micro stalen per ongeluk de browsergeschiedenis van gebruikers, zo claimt het bedrijf. Dat zou gekomen zijn door het hergebruiken van code uit andere toepassingen voor de zakelijke markt.

De uploads van de browsergeschiedenis zitten niet meer in de toepassingen, claimt Trend Micro. Ook alle logs, die opgeslagen stonden op AWS-servers, zijn inmiddels verwijderd. "We hebben ontdekt dat de functie om browsergeschiedenis te verzamelen ontworpen was in combinatie met enkele van onze andere toepassingen en toen op dezelfde manier ingezet in beveiligingsapplicaties en apps die niets met beveiliging te maken hebben. Dit hebben we gecorrigeerd."

De verklaring dat de code per ongeluk in apps als Dr. Unarchiver en Dr. Cleaner zat, is de tweede verklaring die Trend Micro heeft gegeven. In eerste instantie zei het bedrijf dat de code er wel bewust in zat. "Dit was een eenmalige datacollectie, gedaan voor beveiligingsdoeleinden, namelijk om te zien of een gebruiker recentelijk adware of andere bedreigingen was tegengekomen, en dus om onze producten en diensten te verbeteren." Bovendien, zo zei het beveiligingsbedrijf, hadden mensen kunnen weten dat het gebeurde. "De mogelijke verzameling en het gebruik van browsergeschiedenis stond expliciet in de voorwaarden die gebruikers accepteerden bij de installatie van de apps."

Apple verwijderde de apps onlangs uit de macOS App Store, nadat bleek dat de apps de browsergeschiedenis uploadden. Op dat moment behoorde Dr. Cleaner tot de top twintig van populairste gratis toepassingen in de downloadwinkel.

Dr Unarchiver voor macOS

Reacties (87)

Verwijderd 11 september 2018 09:08

“Per ongeluk” 🤨

Klopt, ik programmeer ook altijd per ongeluk regels code die browsergeschiedenis naar me toesturen, laat die via git reviewen en compileer het dan. Kan iedereen gebeuren.

Verwijderd @Verwijderd • 11 september 2018 10:03

Als je een stuk code hergebruikt waar o.a. dit in zit (maar die voor iets anders hebt gekozen) dan kan dit inderdaad gebeuren. Het zou wel beteken dat de code zodanig slecht is gedocumenteerd dat je niet weet welke functies er allemaal inzitten. En dat features standaard "aan" staan. Ook al een foute ontwerpkeuze.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:01]

Cergorach @Verwijderd • 11 september 2018 12:17

Het bericht dat Trend Micro de browser geschiedenis stal is schadelijk, maar dit bericht is veel en veel schadelijker imho. Het leest in mijn optiek als "Nee, we zijn niet oneerlijk, we zijn alleen incompetent...". Als het een game developer was geweest, had ik het nog enigzins kunnen voorstellen, maar dit is juist waar ze tegen zouden moeten beschermen en zit het in hun eigen software!

Ze zitten verdorie in de IT security branch. Hoeveel ITers hebben nog vertrouwen in zo een toko na het lezen van zo een bericht?

Conzales @Cergorach • 11 september 2018 13:59

Niet zo heel veel. Beveiligingssoftware is nog maar matig effectief. Meer nadelen dan voordelen. Vooral systeemvertraging. Zelf gebruik ik alleen nog online scanners bij verdachte downloads. Patchen is veel belangrijker.

John McAfee gelooft er ook niet meer zo in:
https://twitter.com/offic...s/738353702034145280?s=20

rookie no. 1 @Conzales • 11 september 2018 19:52

LOL en jij gelooft John McAfee? Die is niet helemaal fris en zijn software was ook niet echt top in het vinden en opschonen van virussen in die tijd.

Accretion @rookie no. 1 • 12 september 2018 01:38

McAfee.
Idd, vaak de verklaring voor een trage PC is McAfee zelf.
Daarnaast kan het een bitch zijn om te uninstallen.
En wordt het overal als trial meegedownload en krijg je daarna allemaal activatiemeldingen.

McAfee is eerder malware dan een tool.
Windows Defender/Security Essentials, dichtgetimmerde router/firewall, geen zooi downloaden, goed opletten en bij twijfel scannen met MalwareBytes - AntiMalware en adwarecleaner (volgensmij zit dat in de laatste versie van MalwareBytes).
Daarnaast goede backups maken en gewoon eens in de tijd een clean install.

Al jaren succes met die aanpak.

Indentical @Verwijderd • 11 september 2018 10:35

Nu ben ik geen developer, Maar moet je dan niet het adress waar de gegevens heen moeten specificeren in de code? Het lijkt mij dat als je code herbruik en deze verzameld data de locatie waar de data heen gaat het zelfde is als de data van de app waar het vandaan komt en dus eigenlijk nooit bij Trend Micro terecht komen.

Nogmaals, Ik ben geen Dev, dus ik speculeer maar wat.

Edit: Ik weet dat de herbruikte code van een van andere apps afkomt. Maar ik bedoel dus dat dit een specifieke adress heeft lost staand van andere apps die ze hebben

[Reactie gewijzigd door Indentical op 22 juli 2024 14:01]

raptorix @Indentical • 11 september 2018 13:24

Daar dacht ik ook direct aan (als developer), normaal configureer je dit inderdaad in een config file, het kan echter zo zijn dat bij de installatie van het package ook deze config setting automatisch is mee gekomen.
Ik zou niet durven beweren dat hier opzet is, maar het is in ieder geval voor een beveiligingsbedrijf zeer slordig.

Unsocial Pixel @raptorix • 11 september 2018 15:36

Het is idd ergens mogelijk dat dit gebeurd bij een bedrijf, wel een hele hele hele kleine kans als je je zaken op orde hebt. Ik vind dan zeer slordig ook niet acceptabel en ook voor dit soort fouten die "per ongeluk" gaan mag best een boete op.

Verwijderd @Verwijderd • 11 september 2018 12:23

Dan is het wat mij betreft ook niet "per ongeluk". Als een team devs code hergebruikt die ergens niet thuishoort, en dit door (hopelijk bestaande) reviewprocessen niet opgepakt wordt, is het geen ongeluk, maar incompetentie. En op een gegeven moment komt er toch ergens een stroom data binnen? Geen data analyst of ITer die dan zoiets heeft van "waar komen deze duizenden websites vandaan die elke keer via de API naar binnen geknald worden?"

raptorix @Verwijderd • 11 september 2018 13:25

Niet helemaal, grote bedrijven werken vaak met interne packages welke je redelijk black box gebruikt.
Dat is namelijk het hele idee dat je het package op een veilige manier kan gebruiken, het is ondoenlijk om dit elke keer zelf te controleren.

Verwijderd @raptorix • 11 september 2018 14:03

Je typt veel, maar zegt weinig coherents. Wat bedoel je nu eigenlijk? Het blijft een slap excuus natuurlijk, "ons systeem is zo veilig dat we zelf niet eens weten welke data we stelen"?

Znorkus @Verwijderd • 11 september 2018 15:34

Incompetentie is een commerciele keuze. Trend Micro is voldoende professioneel en georganiseerd om dit soort zaken te voorkomen. Natuurlijk had dit grondiger bekeken kunnen worden, door er meer tijd voor te nemen en er meer / beter personeel naar laten kijken.

Maar dat had geld gekost.

Verwijderd @Znorkus • 11 september 2018 15:44

Een slechtere zaak is eigenlijk niet dat dit geld bespaart, maar voor ze oplevert. Je kunt mij niet wijsmaken dat al die data netjes vergrendeld is gebleven, en niet voor commerciële doeleinden is ingezet.

Znorkus @Verwijderd • 11 september 2018 15:46

Beide scenario's lijken me niet onaannemelijk. Ik gok er in dit geval op dat ze open kaart hebben gespeeld.

rboerdijk @Verwijderd • 11 september 2018 14:06

Inderdaad... en ze geven ook duidelijk aan dat de feature ontwikkeld is voor de zakelijke markt. Voor deze doelgroep lijkt het inderdaad een zeer handige feature voor om de browsergeschiedenis te stelen, die gebruikers zullen er hardstikke blij mee zijn.

Vraag die nu rest is in precies welke zakelijke producten dit ingebouwd is ?

Hercolubus @Verwijderd • 11 september 2018 12:03

Deze is mooi en zou je eigenlijk ff hier in het engels moeten plaatsen

https://blog.trendmicro.c...ns-on-our-mac-apps-store/

Verwijderd @Hercolubus • 11 september 2018 12:20

Ik heb/wil geen Disqus-account, maar je mag het best re-posten onder je eigen naam als je wil

System 11 september 2018 08:40

Aan de ene kant staan we op de toppen van onze tenen dat er per abuis data ingekeken werd dat niet de bedoeling was.

Aan de andere kant geven we al onze data prijs aan sociale media, browsers en zo veel meer al dan niet bewust of via cookies.

Twee maten, twee gewichten.

Caelestis @System • 11 september 2018 12:50

Je bent er zelf van bewust dat je alles op straat gooit dus is je eigen fout om het beschikbaar te stellen.
Het is niet meten met twee maten.
Nee zo makkelijk komen de mensen er niet vanaf. Dat geouwehoer van vroeger van "ach joh waar maak je je druk om / heb niets te verbergen / het zijn alleen maar vakantie foto's" blablabla
Er valt niks te klagen de meeste hebben de waarschuwing genegeerd en moeten nu op blaren zitten ook al hebben ze het zelf niet eens door tot iemand er vandoor gaat met je CC of zelfs gehele identiteit.
Het is zeker niet grappig maar kijk jezelf na. Je heb zelf je profiel naam "jurgen"genoemd. Alleen al dat heeft een zoektocht naar jou identiteit aanzienlijk makkelijker gemaakt. Ipv een willekeurige persoon die nederlands kan typen ben je hoogst waarschijnlijk een echte nederlander die in nederland woont dan kunnen we nog even de rest van nederland zonder jou naam weg strepen en blijven er misschien wat 1000 over?
Dan kijken we naar browser gedrag om te zien naar welke sites je gaat. En voila iemand weet het adres te vinden van jurgen op tweakers.

Het is belangrijk dat je ten aller tijden goed nadenkt over wat je beschikbaar wil stellen net als je oppast met wat je zegt tegen wie in het dagelijkse leven.
Jou data is jou verantwoordelijkheid net als jou geld. Als iemand ermee vandoor gaat ben je zelf als eerste schuldig.

Znorkus @Caelestis • 11 september 2018 15:45

Nee, de antisociale sprinkhanen die we 'bedrijven' noemen gaan ermee vandoor. Zij zijn schuldig, niet de eindgebruiker. En als iemand anders er met je geld vandoor gaat, dan heet dat diefstal, en is de ander verantwoordelijk, niet jijzelf. Ik vind het een vreemde omdraaiing die je maakt.

Caelestis @Znorkus • 11 september 2018 17:44

Yup en daarom hebben het concept slot bedacht.
Als jij je voordeur open laat en iemand jat je TV en hij wordt niet gepakt dan gaat jouw verzekering niets uitbetalen.
Ik zeg ook niet dat een dief niet schuldig is maar slachtoffer ben je ook niet als je het gewoon voor het oprapen last staan.
Vandaar het opmerking dat je als eerste zelf schuldig bent en daarna pas de vinger kan gaan wijzen.

Znorkus @Caelestis • 11 september 2018 19:50

Dar heeft meer met de bewijslast te maken (geforceerd slot, kapot raam) dan dat er sprake is van schuld. Met een open voordeur maar mEt camera-opnames van de boef (of opnheterdaad betrapt door een agent) is die schuld toch vast te stellen. Ik geloof niet dat er een minimum aan eigen beveiliging wettelijk vereist is en dat je je rechten verspeelt als je daar niet aan voldoet.

[Reactie gewijzigd door Znorkus op 22 juli 2024 14:01]

Caelestis @Znorkus • 11 september 2018 20:22

Moet je eens een huis kopen dan weet het ipv aannames maken.

rookie no. 1 @Znorkus • 11 september 2018 19:55

Behoorlijk eenzijdig en makkelijk; je bent ook zelf altijd verantwoordelijk! Zeker als je een waarschuwing krijgt van anderen er eens over na denken.

Kies je producten, tenminste, toen dat nog kon...

pookie79 @System • 11 september 2018 09:20

Ik hoop echt dat die kromme vergelijking een keer op houd. Veel mensen posten niks op sociale media omdat ze er juist wel mee bezighouden. Er wordt dan ook een hoop over gesproken en ondernomen.

Dat een ander deel het geen enkel probleem vind en alles post wil niet zeggen dat iedereen, alles maar te grabbel gooit en alleen klagen bij andere bedrijven/overheden. Die mensen die van alles het het net op pleuren zullen ook niet "op de toppen van hun tenen" staan hierover.

Wat je hierboven eigenlijk zegt is:

Een grote groep vind het best om alles te delen dus mag iedereen van iedereen stelen en moeten we niet zeuren. Klinkt wel raar als je het zo formuleert, maar het is wel wat jij zegt.

Sowieso

per abuis data ingekeken werd dat niet de bedoeling was

De eerste verklaring had het daar toch echt niet over. Wat 'per ongeluk' twijfelachtig maakt

System @pookie79 • 11 september 2018 09:34

Dat was eigenlijk niet wat ik bedoelde.
Wat ik wel bedoelde is dat er relativering gewenst is.
Tegenwoordig wordt alles opgeblazen tot iets enorm terwijl het in feite ridicuul is.
Nee, het is niet de bedoeling dat ze dergelijke info verzamelen. En dat geven ze ook meteen toe.
Maar tegenwoordig moet er overal complotten en zo gezocht worden.
Relativering is meer dan gewenst.

Een eerste verklaring is zelden de juiste.
Maar na wat dieper onderzoek of rondvragen intern kan men vaak een juistere verklaring vinden.
Het slimste is niet meteen te antwoorden. Maar dat lukt niet altijd.

pookie79 @System • 11 september 2018 09:43

Nee, het is niet de bedoeling dat ze dergelijke info verzamelen. En dat geven ze ook meteen toe.

Ze zijn betrapt. Natuurlijk "geven ze toe" dat het niet de bedoeling was. Maar mag ik je vragen waar je de grens zelf legt?
Facebook die meer verkoopt dan dat ze beloven
Stelen van persoonlijke gegevens om er geld aan te verdienen (al is het maar de analyse die ze er op uitvoerden voor de andere producten die het blijkbaar wel mochten uploaden)

Dat zijn voor mij beide grensoverschrijdende gevallen. Ik hoef er echt geen extra complotten bij te bedenken, die feiten vind ik al erg genoeg. Ik moet er niet aan denken dat dit als algemeen goed wordt geaccepteerd. Hoe ver zullen de bedrijven dan gaan? Ik ben juist blij dat zulke zaken ook door het publiek niet al te licht worden opgepakt.

System @pookie79 • 11 september 2018 09:48

Persoonlijk vind ik dat er heel heftig gereageerd wordt zonder alle informatie te kennen.
En, ja dat is iets typisch in deze tijd. Dus wat dat betreft zijn we mee.
Maar vaak en ook nu wordt het uit zijn context getrokken en buiten proportie behandeld.
Dat dergelijke inbreuken moeten onderzocht worden ben ik het volkomen mee eens.
Maar het proces moet echt niet online gevoerd worden.

Fireshade @System • 11 september 2018 09:56

Wat ik wel bedoelde is dat er relativering gewenst is.

Waarom is dat gewenst?
Het mag zeker niet van de AVG. Hoe wil je nog relativeren?

Een eerste verklaring is zelden de juiste.

- We hebben het niet over een eenmanszaak. Trend Micro maakt in zekere zin "mission critical" software, en ze hebben QA afdelingen. Dus dingen over het hoofd zien?
- Upload van je browsegeschiedenis stond in de gebruiksvoorwaarden.
- De browsegeschiedenis is daadwerkelijk opgeslagen in hun AWS: er is daar dus speciaal ruimte/databases voor ingericht voor de gratis apps, naast de ruimte voor de al bestaande zakelijke versies.
Geloof je nog echt zelf dat het per ongeluk is gegaan?
Het is gewoon data graaien, omdat het kan en vooral handig is. Gewoon een domme actie.

[Reactie gewijzigd door Fireshade op 22 juli 2024 14:01]

System @Fireshade • 11 september 2018 09:59

Net omdat het geen eenmanszaak is, is de eerste verklaring zelden de juiste.
Laat de juiste instanties dit onderzoeken en beoordelen. Wij hoeven dat niet te doen HLN gewijs...

Verwijderd @Fireshade • 11 september 2018 11:02

Het is gewoon data graaien, omdat het kan en vooral handig is. Gewoon een domme actie.

Maar dan moet je ook een idee hebben waarom deze firma wil zien waar je geweest bent. Wat nut heeft het voor ze?

mbb @System • 11 september 2018 10:21

Ook dat verwijt vind ik onterecht. Ik lees het op een respectabele nieuwssite als Tweakers en waar eventuele aanvullingen door gebruikers worden toegevoegd.
Is het dan nog aan ons om dieper door te vragen, of aan hun om hun fout goed uit te leggen en in een breder perspectief naar een oplossing te zoeken?
Ze hebben nu twee keer een mededeling kunnen doen, en op de wederhoor-vraag van Tweakers kunnen ingaan. Moeten we ze dan nog voordeel van de twijfel geven?

Overigens, wat mij verontrust is niet dat er een keer iets fout gaat, maar dat zulk een technisch kapabel bedrijf zo makkelijk 'per ongeluk' om twee verschillende redenen zo makkelijk data kan binnenharken.
Hoe vaak zal het dan wel niet door andere startups en amateurs fout gaan, waarbij de data ook nog eens niet versleuteld wordt of doorgestuurd word aan derden?

System @mbb • 11 september 2018 12:51

Het is niet omdat de site respectabel is, dat de gebruikers dat ook zijn.
Zeker niet op een site die aan zelf-moderatie doet zoals hier...

Verwijderd @System • 11 september 2018 10:08

Inderdaad, de tijd nemen is inhoudelijk het beste. Maar probeer in de huidige hijgerige tijd maar eens tijd te pakken om iets te onderzoeken en na te denken. Je wordt op sites als deze zowel door de redactie als de forummers afgebrand.

Dat komt natuurlijk omdat alle mensen die hier reageren zelf feilloos zijn en direct weten hoe het in elkaar steekt. Die snappen niet dat anderen wel eens moet of willen nadenken.

System @Verwijderd • 11 september 2018 10:09

Eindelijk iemand die het snapt.

kodak @System • 11 september 2018 12:12

De relativering is dat het zomaar verzamelen van persoonlijke gegevens op diverse voorwaarden al niet mocht. Trend micro heeft de voorwaarden van apple genegeert en het voldeed door gebrek aan informeren en gebrek aan keuze niet aan wetgeving van een groot deel van hun afzetmarkt.

Daar tegenover staat dat ze verantwoordelijk zijn voor het voldoen aan die regels, de inhoud en werkinh van de code en de acties die de app. Ze hebben daarin gekozen om meervoudig het risico te nemen, in eigen voordeel, door of de code en werking slecht te controleren of zelfs het faciliteren van een systeem om de illegaal verkregen gegevens ook nog te kunnen ontvangen en verwerken.

Ik zie geen mogelijkheid om hier te beweren dat er overtrokken reacties zijn als een bedrijf zo enorm laks is en maling heeft aan klanten, wetgeving en voorwaarden van de omgeving waar ze afhankelijk van zijn.

[Reactie gewijzigd door kodak op 22 juli 2024 14:01]

Bjorn89 @System • 11 september 2018 11:18

Genoeg addons hier draaien om mijn browser dicht te timmeren.

Helaas wordt het er niet mooier op met minimaal 6 addon icoontjes 😑

CH4OS @System • 11 september 2018 09:48

Je zou ook zeggen dat een OS ook niet zomaar de browsergeschiedenis gééft aan dergelijke apps.

Maar daar hebben meer besturingssystemen last van, helaas.

jopiek @CH4OS • 11 september 2018 10:18

Als je apps toestaat te snuffelen in andere folders dan de eigen... Die "Dr. Cleaner" zal anders zijn werk ook niet kunnen doen natuurlijk. Alleen zou je liever hebben dat het ook op je normale OS zo strict geregeld zou zijn als op bijv. iOS. Hoewel veel mensen dan toch weer klagen dat ze niks mogen en dan toch voor iets als Android zullen kiezen. Mensen betalen liever met hun privacy dan dat ze euro's inzetten, dat zie ik iig vrij vaak om me heen. Gratis apps, yeah right.

[Reactie gewijzigd door jopiek op 22 juli 2024 14:01]

CH4OS @jopiek • 11 september 2018 10:40

Als die "Dr. Cleaner" enkel tijdelijke (internet) bestanden opschoont, heeft het niet de browsergeschiedenis nodig, me dunkt.

jopiek @CH4OS • 11 september 2018 10:44

Ja dat ben ik met je eens, maar folder is toch al heel snel folder nietwaar? Op Linux/Unix (dus macOS) zou je natuurlijk de folderrechten gewoon zo kunnen zetten dat alleen de browser toegang heeft tot zijn eigen historie folder (moet dan uiteraard zijn eigen user hebben, maar kan natuurlijk prima), alleen blijkbaar doen browsers dat niet.

arjankoole

Apple

@jopiek • 11 september 2018 12:43

Ja dat ben ik met je eens, maar folder is toch al heel snel folder nietwaar? Op Linux/Unix (dus macOS) zou je natuurlijk de folderrechten gewoon zo kunnen zetten dat alleen de browser toegang heeft tot zijn eigen historie folder (moet dan uiteraard zijn eigen user hebben, maar kan natuurlijk prima), alleen blijkbaar doen browsers dat niet.

Je kan doorgaans niet eenvoudig een applicatie die toegang heeft buiten z'n sandbox (want alle iOS/MacOS Appstore apps zijn sandboxed) restricties geven tot alleen die specifieke directory. Als de user waaronder die draait toegang heeft, heeft de app toegang. Het access model in unix is behoorlijk plat. De meeste apps kunnen dit ook niet, want die mogen domweg niet buiten de sandbox komen. Alleen security apps mogen dat als ik me niet vergis.

jopiek @arjankoole • 12 september 2018 11:09

Dus zou Apple die apps nog strikter moeten controleren, gaan ze ws. vanaf nu ook wel doen.

StarZ

@System • 11 september 2018 09:55

Ja, al kies je er op social media zelf voor.
Als ik een keer 100 euro geef aan iemand en een ander iemand telkens binnen komt om zelf geld te pakken als hij een pakket aflevert dan is dat toch ook niet normaal? Dan mag je daar toch wel over klagen?

kodak @System • 11 september 2018 12:26

Wat is volgens jou buiten proportie trekken? Vragen om relativeren is zonder context een loze claim die te makkelijk ingezet kan worden om argumenten af te doen als onzin. De relativeringen waar je zelf mee komt aanzetten zijn geen relativering maar onvergelijkbare situaties van het type jantje deed iets fout met persoonsgegevens maar dat pietje doet ook wel eens wat om het klaasje makkelijker te maken.

Locke_

11 september 2018 08:28

Een bedrijf gespecialiseerd in softwarebeveiliging welke een fout maakt komt vaker voor, maar dan verschillende verhalen vertellen over de oorzaak en waar de code voor bedoeld was komt de betrouwbaarheid niet ten goede.

Gelukkig doen andere bedrijven in dezelfde markt dat toch aanzienlijk beter.

System @Locke_ • 11 september 2018 08:37

Denk je?
Bitdefender, McAffee, Microsoft defender, 365 total security,...

Fouten kunnen gebeuren. Ze zijn van alle tijden. Alleen worden ze op de dag van vandaag opgeblazen tot en met.

dehardstyler @System • 11 september 2018 08:52

Fouten kunnen gebeuren.

Niet als je eerst zegt dat het bewust is en daarna dat weer ontkent en zegt dat het geleend is van de zakelijke variant. Zeg dan gewoon niks als bedrijf zijnde, want je maakt het alleen maar erger zo.

System @dehardstyler • 11 september 2018 09:29

Dat is een feit.
Vaak komt er al een reactie nog voor ze echt bekeken hebben hoe het komt.
Dan zwijg je beter in afwachting van een echt antwoord.

jaenster

11 september 2018 08:12

Libaries zijn fijn om te gebruiken.. maar neem eventjes door wat je onder de arm neemt. Mocht dat het daadwerkelijke verhaal zijn.

Iblies @jaenster • 11 september 2018 10:03

Inderdaad.

Wat dus voorkomt is dat er standaard-libraries worden gekocht (‘gratis’??) waarvan niet precies weet hoe en wat en dat software maar zo snel mogelijk moet worden gemaakt en achteraf wel wordt gepatched als het te gortig wordt.

Blijkbaar zat de optie er in en is die (misschien eerst) aangezet door Trend Micro, maar in een later stadium niet meer uitgezet of hebben ze er zelf geen invloed op gehad of is dat extern weer aangezet.

Verhaal van Trend Micro komt heel warrig en ongeloofwaardig over. Helemaal als dit wordt meegenomen,
nieuws: Apple verwijdert meer apps uit Mac App Store die browsergeschiedenis ...
De apps hebben een gemeenschappelijke deler.

Blamage van een hoogste orde voor een bedrijf met een omzet van meer dan 1mld euro,
https://newsroom.trendmic...s-q4-and-fiscal-year-2017

arjankoole

Apple

@Iblies • 11 september 2018 12:47

Best kans dat dit gewoon een interne library is van Trend Micro zelf. Het verzamelen van dit soort meuk _kan_ legitiem zijn. Alleen in dit geval, voor deze app, was dat niet het geval. Hun andere app daarentegen had wellicht hele legitieme redenen hiervoor.

Er zijn wel opensource libraries geweest waar zo'n geintje inzat, vooral voor analytics. (gebruik), maar daar wordt meestal ook wel wat herrie over gemaakt. Zeker tegenwoordig.

7unkrat 11 september 2018 10:09

" Bovendien, zo zei het beveiligingsbedrijf, hadden mensen kunnen weten dat het gebeurde. "

Zelfs een doorgewinterde jurist heeft al moeite om alle voorwaarden door te spitten van een bedrijf, aangezien het niet bij 2 a4's wordt gehouden maar een boek nog dikkere als de bijbel. Zo was dit ook aangegeven in de Facebook zitting.

Korte versie: geen hond die de voorwaarden leest.

Verwijderd @7unkrat • 11 september 2018 11:06

maar een boek nog dikkere als de bijbel. .

En overdrijven is ook een vak. Ik heb net in twee minuten de user agreement gelezen van Trend Micro. Is best begrijpelijk en niet overbodig lang. Durf zelfs te beweren dat jij hem ook wel zal snappen!

7unkrat @Verwijderd • 11 september 2018 11:12

Was eigenlijk meer een figure of speech.

Het lezen van voorwaarden is toen een keer getest met iTunes een aantal jaren geleden. 99% klikt direct op accepteren.
Daarover gesproken, goede docu hierover. Do You Trust This Computer -> https://www.youtube.com/watch?v=nEP02sreGpA

majic 11 september 2018 12:33

"per ongeluk in de code terecht gekomen"
"stond in de voorwaarden dat we het zouden doen, dus gebruikers konden het weten"

Right, totaal ongeloofwaardig dus. Per ongeluk, oké. Maar de voorwaarden schrijven zichzelf niet en baseren zich dus op functionaliteit van de software. En die was dus blijkbaar wél volledig bekend bij op z'n minst het team dat de EULA schreef..

arjankoole

Apple

@majic • 11 september 2018 13:03

tenzij ze 1 EULA hebben voor al hun software. Je kan een punt hebben als de EULA specifiek voor een App is. Maar ik acht de kans aanwezig dat het 'Trend Micro Apps EULA' is.

Zelfs als de naam van de App er in staat, kan het best zijn dat dat een template is. Die is 1 keer geschreven door de juridische afdeling.

Plus dat (Amerikaanse) bedrijven zich altijd indekken tegen alles, om te voorkomen dat ze aangeklaagd kunnen worden. Daarom zie je in de meest basale app EULA nog wel eens: "het is niet toegestaan deze software te gebruiken voor de aansturing van een kern reactor/vliegdekschip/straaljager/ICBM". Sure, dat ga je echt doen met Flappy Bird. :-p

majic @arjankoole • 11 september 2018 13:15

Daar heb je ook weer een punt ja

Zo had ik er nog niet tegen aan gekeken.

dehardstyler 11 september 2018 08:13

Damage control, maar dan helemaal verkeerd. Je moet ook vooral 2 verschillende redenen gaan noemen na dit soort activiteiten, dat komt de geloofwaardigheid ten goede.

blinchik @dehardstyler • 11 september 2018 08:29

Doet me denken aan het statement van Bitdefender na hun hack ... Onze paswoorden waren gehashed, en een hacker had tijdelijk toegang tot het ram geheugen, waar hij een deel van de hashes heeft kunnen bemachtigen en zo heeft hij de paswoorden te pakken gekregen :-D

Verwijderd 11 september 2018 09:24

Code hergebruiken, maar niet denken van, heyyy, waar komt die massa aan data vandaan op onze servers, laten we dat na de 1e update even verwijderen?
Man man man wat slecht bedacht! Dan had je de inkomende massa aan data ook over het hoofd hebben gezien?

arjankoole

Apple

@Verwijderd • 11 september 2018 12:52

Code hergebruiken, maar niet denken van, heyyy, waar komt die massa aan data vandaan op onze servers, laten we dat na de 1e update even verwijderen?
Man man man wat slecht bedacht! Dan had je de inkomende massa aan data ook over het hoofd hebben gezien?

De grote hint was: S3

Het nadeel van dingen als S3, zeker voor toko's als Trend Micro die S3 gebruiken voor de opslag van grote bergen data (legitiem of niet legitiem, dat laten we even in het midden) voor verdere analyse is dat ze best groot kunnen groeien zonder dat iemand het doorheeft. Omdat het goedkoop en veel is, is er niet iemand die let op dat dingen uit de klauwen lopen. (zoals met ouderwetse eigen storage, die vol loopt, en iemand gaat muiten over de investering die dan noodzakelijk is).

Het zou me weinig verbazen dat er nog veel meer S3 buckets zijn waar ladingen aan data zijn geland zonder dat iemand het doorheeft. Mogelijk met gevoelige informatie.

Verwijderd @arjankoole • 11 september 2018 13:46

Ook bij het gebruik van S3 is er nog altijd een bewuste, expliciete aktie nodig om de bucket te configureren en de security keys. Het is niet zo dat je een lib pakt en geheel automatisch files wegschrijft naar de buckets van je eigen organisatie. Je doet dat niet per ongeluk.

jopiek 11 september 2018 10:12

Ik scan ook altijd vanuit mijn apps per ongeluk naar ID-kaarten en paspoorten, dat zouden meer ontwikkelaars moeten doen! Heb je de NSA niet meer nodig. Nou ja gekkigheid natuurlijk, maar het klinkt wel heel erg apart. Of er zijn bepaalde CocoaPods (Alamofire of zo) die het ingebouwd hebben, dat zou in theorie wel kunnen natuurlijk... Gaat er ws. voor zorgen dat Apple nog sneller iOS en macOS (iig deels) zal integeren. Dan laat je browsers en zo gewoon draaien binnen dedicated stuk waar andere apps niet bij kunnen. Als ik goed onthouden heb wordt je ook wel gestimuleerd je eigen apps te sandboxen.

[Reactie gewijzigd door jopiek op 22 juli 2024 14:01]

arjankoole

Apple

@jopiek • 11 september 2018 12:59

Sandboxen is een vereiste voor de Mac Appstore. Zonder kom je er domweg niet in. Linkje :

Sandboxing allows your app to access what it needs, while limiting access to other system resources and user data. All apps submitted to the Mac App Store require sandboxing.

Echter, security apps mogen om logische redenen daar een uitzondering op vragen. Die hebben er niets aan dat ze alleen hun eigen sandbox kunnen scannen, de mogelijke infecties vinden daarbuiten plaatst. Net zoals een sandboxed virusscanner niet veel waarde heeft.

jopiek @arjankoole • 12 september 2018 11:08

Ik dacht me dat te herinneren ja. Hoewel mijn app 'te specifiek' was en daardoor niet door de Apple ballotage kwam had ik die ook netjes gesandboxed.

Verwijderd 11 september 2018 08:15

Natuurlijk ……. niet

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:01]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (87)

Sorteer op:

Weergave: