Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onofficiële iOS-appstores verspreiden aangepaste apps met developercertificaten

Clandestiene appdistributeurs als TutuApp, Panda Helper, AppValley en Tweakbox verspreiden aangepaste iOS-apps als Spotify, waarmee gebruikers zonder advertenties kunnen luisteren. De distributeurs misbruiken daarvoor door Apple uitgegeven developercertificaten.

Of de certificaten gestolen worden van andere developers door de appwinkels of dat ze deze zelf krijgen van Apple door zich in te schrijven als ontwikkelaar, is niet duidelijk. Het lijkt hoe dan ook niet moeilijk te zijn. Reuters schrijft namelijk dat Apple bans had uitgedeeld in reactie op dit gedrag van de appwinkels, maar binnen enkele dagen werden dezelfde gemodificeerde apps verspreid met een ander developercertificaat.

Een ander voorbeeld is een gratis versie van Minecraft voor iOS. Die kost normaal 7,99 euro. Verder zijn er aangepaste versies van Angry Birds en Pokémon Go, waarin cheats verwerkt zitten. Eerder bleek ook dat de certificaten misbruikt worden om apps voor gokken en pornografie te verspreiden. Twee zaken die niet toegestaan zijn op de App Store. De certificaten maken het mogelijk om apps van buiten de App Store te installeren, maar zonder een jailbreak.

De appwinkels bieden zelfs een betaald abonnement op de apps aan voor 13 dollar per jaar. Daarvoor krijgen gebruikers stabielere versies van de aangepaste apps. Het is niet bekend hoeveel geld er hierbij wordt verdiend en hoeveel mensen er gebruik van maken. In reactie op deze praktijken is Apple van plan om tweetrapsauthenticatie te verplichten op alle ontwikkelaarsaccounts. Dat gaat tegen het einde van februari in.

Door Mark Hendrikman

Nieuwsposter

14-02-2019 • 10:36

66 Linkedin Google+

Reacties (66)

Wijzig sortering
Gek artikel. Wat is het punt eigenlijk? Het lijkt bijna op reclame voor deze websites. Deze praktijken gebeuren al jaren, dus de nieuwswaarde ontgaat mij ook een beetje.
Ellende voor developers is vooral dat je 2-factor op je development account aan moet zetten.
Dat lijkt mij anders geen overbodige luxe, en het verbaast mij enorm dat dit nog niet een eis is.
Tsja, moeten ze het iig zo maken dat ik nog wel aparte accounts kan gebruiken voor verschillende rollen e.d. dat is nu nog vrij lastig.
Tsja, moeten ze het iig zo maken dat ik nog wel aparte accounts kan gebruiken voor verschillende rollen e.d. dat is nu nog vrij lastig.
zag ik daar niet juist onlangs een developer aankondiging voor langskomen?
Exact, ook daar rommelen ze aan, iig aan het academic account waar ik deelbeheerder van ben. Is ook gedoe, want het is té persoonsgebonden (iig voor de praktijk van een hogeschool).

Wordt nog wat dat 2-factor authenticatie: als je dat dan netjes probeert:

Deze e‑mail dient als bevestiging dat je laatst hebt geprobeerd om de twee‑staps‑verificatie in te stellen voor je Apple ID j•••••@**********.com.
Om veiligheidsredenen moet je tot 17 februari 2019 om 10:56:46 GMT+1 wachten voordat je met het twee‑staps‑verificatieproces kan beginnen. Je kunt na deze datum en tijd inloggen op de Apple ID‑accountpagina om het proces af te ronden. Lees voor meer informatie de Veelgestelde vragen (FAQ).
Als je niet zelf hebt geprobeerd de twee‑staps‑verificatie in te stellen, of als je denkt dat een onbevoegd persoon je account heeft benaderd, stel dan onmiddellijk je wachtwoord opnieuw in vanaf je Apple ID accountpagina op https://appleid.apple.com.
Voor je veiligheid is dit geautomatiseerde bericht naar alle e‑mailadressen gestuurd die wij voor je account in het systeem hebben staan.


Pff. Hadden ze beter eerder over na kunnen denken... Want als het 27 feb ingaat en je moet een halve week wachten voor het daadwerkelijk geactiveerd wordt...

[Reactie gewijzigd door jopiek op 14 februari 2019 16:04]

Vanaf 27 februari is het verplicht!
Kreeg inderdaad de mail gisteren. Maar ik had het al aan staan.
Het is vooral onhandig dat je het aan een device moet koppelen, waardoor je niet zomaar ergens kan inloggen, of binnen een team kan inloggen. Met 2 factor kan maar 1 persoon inloggen in zo'n account. Niet praktisch voor een developeraccount
Elke developer dient toch gewoon een eigen account te hebben.

De vraag die mij rond hangt is eigenlijk zijn teams te koppelen?? Kan best begrijpen dat een deceloper in de us samen kan werken met iemand in de eu. Dan moeten beide wel de app in de store kunnen zetten na compile.
Mijn AppleID heeft in meerdere teams van meerdere bedrijven gehangen.
Hoezo zou je geen 2-Factor op welk account dan ook willen hebben? Helemaal op het account waarmee je ook nog eens apps ontwikkeld (en geld verdient).
Ik heb dus bijna overal 2FA aan staan, maar het punt is vaak je master keys. Waar laat je die nu weer en als je die ergens opslaat moet je daarvan ook 2FA aanzetten en die masterkey laat je weer niet rond slingeren bij de andere master keys etc. En als je Google Authenticator gebruikt moet je ook nog uitkijken dat je je telefoon niet kwijtraakt en man man, soms wat ellende ermee gehad.

Gebuik nu Authy welke ik ook op me desktop kan gebruiken, dus als telefoon verloren is kan ik er altijd nog bij 👍
Ja dat zal het gros van de gebruikers zijn, maar er zijn ook 'academic' accounts :) En wat als samenstelling docententeam verandert... blijft gedoe. Ik begrijp 2-factor verder zeker, maar Apple had het beter doordacht moeten implementeren. Nu blijf ik accounts in en uitloggen op iPad of zo als ik er wat mee moet.
Dat heeft hier niks mee te maken, lijkt me. De apps zullen wel gecracked worden en daarna opnieuw ondertekend met een eigen valide signatuur.
Het is meer in het verlengde van de discussie over de misbruik van certificaten. Volgens mij is het net zoals je bij android doelbewust een optie aan moet zetten om iets te side-loaden of zoals bij Apple heb moet jailbreaken.
Een certificaat omzeilt deze doelbewuste actie ondanks dat je ook wel iets kan vermoeden als je op een andere app store terecht komt. Maar dan nog zullen mensen zich nog beveiligd voelen door Apple wat dus niet het geval is.

Zeker als je kan lezen uit de vergelijking van iemand van de codes heeft dit ook als gevolg dat er heimelijk screenshots gemaakt kunnen worden. Iets wat ook recentelijk de nodige aandacht heeft gekregen.

Ook de normale lezer moet zich bewust blijven van de gevaren die er heersen.. nieuwswaarde is het dan ook zeker.
Als ik porno in de App Store kan krijgen ( streng verboden ), waarom zou malware dan niet lukken? Of snap ik het probleem hier niet helemaal?

edit: typo

[Reactie gewijzigd door dehardstyler op 14 februari 2019 10:59]

Nee, porno en malware in de app store krijgen gaat je hier niet mee lukken.
Je kan met een eigen certificaat apps intern publiceren naar een beperkt aantal mensen. Dat certificaat is bedoeld om apps intern te verspreiden bij bedrijven en is tegen betaling bij Apple verkrijgbaar. Het probleem is dus dat die certificaten gestolen worden, en misbruikt worden om illegale apps te verspreiden.
Ahh, het gaat dus niet in de app store, maar het wordt buiten de store om gedownload. Net als de APK's bij Android dus. I stand corrected.

Ik zag al een reactie van @StGermain dat er dus inderdaad malware in kan zitten: StGermain in 'nieuws: Onofficiële iOS-appstores verspreiden aangepaste apps m...
Klopt. En er zijn ondertussen verschillende onofficiele "app stores" gemaakt met gestolen certificaten, waar vanalles te krijgen is. Maar omdat de apps dus niet gecontroleerd zijn door Apple, zit er ook een hoop ongure apps tussen.

Je kan het inderdaad vergelijken met een APK. Maar dan met het verschil dat je normaal enkel APK's kan installeren als die door Apple zijn ondertekend. Het kan dus ook met "APK"'s die zijn ondertekend met zo'n gestolen certificaat. En van die certificaten zijn er blijkbaar veel in omloop.
Oh cool dus je kunt met de iPhone dus wel buiten de Apple store om? Dat is één van de pluspunten van Android.
Oh cool dus je kunt met de iPhone dus wel buiten de Apple store om? Dat is één van de pluspunten van Android.
Nee, dat kan niet standaard. Maar apple heeft een enterprise programma, waarmee je zoiets wel kan doen. Daarom hadden facebook en google onlangs een probleem, omdat al hun interne apps niet meer werkten omdat apple hun enterprise certificaat introk vanwege misbruik. En dat betrof ook interne apps voor medewerkers om bijvoorbeeld te betalen in de kantine, vakantie/verlof aan te vragen, etc.

Voor de rest is het vooral omslachtig. In enterprise omgevingen worden iPhones/iPad's uitgerold via speciale software die dat transparant regelt. Als je extern bent, moet je eerst een speciaal certificaat installeren voor die partij. (dat is een certificaat waarbij apple de Root-CA is). Voordeel is wel dat je telefoon niet remote te besturen / whipen is. (tenzij de software die je installeert wel heel bijzonder duistere dingen doet, wat altijd risico is bij dit soort schimmige partijen)
Dit kan al heel lang, kost alleen moeite en als je geen ontwikkelaarsaccount hebt dan moet je iedere 7 dagen je certificaat opnieuw signeren (tenzij je een certificaat van anderen gebruikt wat in dit verhaal het geval is).

Maar mocht je graag gameboy emulators willen of een gekraakte pokemon go (met cheats) dan hoef je geen certificaat van anderen te hebben en ook geen dev account te hebben.

Enkel xcode voor mac of cydia impactor voor windows en you are golden.
Pm met jouw beste manier voor android.😅
Dit zijn developercertificaten volgens mij (die van +/- €99/jaar), niet de bedrijfscertificaten.
Er is een persbericht van Reuters uitgegaan, zou een beetje raar zijn om dat als tech nieuwssite te negeren. Dat is immers hoe het nieuws werkt. De T.net redactie heeft er zelfs nog de moeite in gestoken er een eigen draai aan te geven ipv het 1:1 over te nemen zoals veel andere sites.

[Reactie gewijzigd door -36- op 14 februari 2019 11:01]

Niet eens. Persberichten zijn ook slechts een vorm van iemand (iedereen) die roept: "HE HALLO IK WIL GRAAG EVEN AANDACHT HIERVOOR OM REDENEN DIE VOOR MIJ BELANGRIJK ZIJN!1!!1!".

Dus in dit geval (weet ik niet) bijv. Apple die hier aandacht voor wil.

Maar dat is nog niet 1-op-1 hetzelfde als de afweging: is dit (voldoende) nieuwswaardig voor Tweakers en haar lieve lezertjes.

Anders word je een standaard news aggregator site, nu.nl. Direct doorplaatsen van alles wat via de kanalen binnenrolt. Meerwaarde nihil.

[Reactie gewijzigd door Ro-Maniak2 op 14 februari 2019 11:04]

Dat het een al langer bestaand fenomeen is of dat iemand er juist op dit moment aandacht voor vraagt betekend niet dat het geen nieuws is. Ik ga er verder vanuit dat de redactie prima in staat is die afweging te maken of iets nieuwswaardig genoeg is. (het feit dat jij en ik het gelezen hebben en erop reageren zegt eigenlijk al genoeg ;) )

[Reactie gewijzigd door -36- op 14 februari 2019 11:11]

(het feit dat jij en ik het gelezen hebben en erop reageren zegt eigenlijk al genoeg ;) )
Yep maar alleen dat hetnsuccesvolle clickbait is.
Good luck, ik zou maar geen bankverrichtingen meer doen vanaf dat toestel… https://yalujailbreak.net/tweakbox-appvalley-security/

[Reactie gewijzigd door StGermain op 14 februari 2019 11:05]

Heb je het artikel zelf tot het einde gelezen? quote uit het artikel;
OUR TAKE

AppValley and TweakBox are tried-and-tested package managers and shouldn’t pose any threat to your device.

TutuApp and other Chinese installers do harvest user data through spyware so I suggest staying away from them for obvious reasons.

With that being said, the safest route is obviously to use paid signing services or jailbreak tweaks.
Ze krijgen geen volledige inzicht in de dylib, waarvan de dev van TB/AV beweerd enkel de code aan te passen voor ads om de kosten in ieder geval te dekken. Ze doen verder uitspraken over wat er mogelijk nog meer in een dylib kan zitten.

Nog een stuk uit het artikel;
This method is perfectly safe and secure unless a developer decides to sneak in some shady code. Moreover, no service can hurt your iPhone or iPad without a powerful low-level exploit.

If you do not have a jailbreak, you shouldn’t worry too much about these hacked apps.
Of ik begrijp het verkeerd. Maar zoals ik het lees kan er een risico zijn, maar deze is niet aangetoond. En als je device geen JB heeft dan valt het qua risico wel mee.

Update:
Ik kan de timing van het nieuwsartikel op tweakers net echt plaatsen. Dit is volgens mij niks nieuws! Eerder een promo artikel voor de service.

[Reactie gewijzigd door GerritGekke op 14 februari 2019 20:55]

of je neemt een legale app zoals Infuse
Infuse is heel anders, moet je alles streamen vanaf je nas ed. Heb het wel een jaartje gebruikt en het doet wat het adverteert maar het is wel anders dan een torrent streamer als popcorn time. Kun je wel zeggen ja maar dat is niet legaal, en daar heb je vast ook gelijk in, maar eerlijk gezegd denk ik ook dat de meeste mensen die via infuse streamen dat ook niet enkel met hun eigen ripjes doen... 😅
Bij infuse kan je altijd nog de schijn ophouden dat het een back up is van een blu-ray die jij zelf in bezit hebt, of dat je vakantie video’s wilt streamen.

Popcorntime heeft geen enkel ander nut dat het mogelijk maken om illegaal verspreide media te kijken.

Plex en infuse kan je moeilijk verbannen omdat je dan een grens moet gaan trekken die vaag word voor consumenten. Want wanneer is iets een tool dat gebruikt kan worden voor illegale media? Is Windows een tool? Of is Windows dat niet maar plex wel?
torrent-gerelateerde apps (transmission-remote bijvoorbeeld) vind je ook niet in de appstore, terwijl torrents een hele gebruikelijke methode is om legale linux distro’s te verspreiden.
Nee, de torrent client draait headless op het netwerk. Beheer gaat op afstand. Ja, dat kan ook met een web-ui, maar dat werkt toch allemaal wat minder prettig.
torrent-gerelateerde apps (transmission-remote bijvoorbeeld) vind je ook niet in de appstore, terwijl torrents een hele gebruikelijke methode is om legale linux distro’s te verspreiden.
ik trek m'n linux distro's doorgaans via http/https binnen. Via bittorrent heb ik letterlijk nog nooit gedaan.

Blizard gebruikte bittorrent wel om world of warcraft software updates te shippen, maar dat zat ingebouwd, en liep via een privé platform, daar kwam het publieke deel van bittorrent niet aan te pas, als ik me niet vergis.
Mijn punt was ook vooral dat het niet toegestaan wordt in de app-store want “torrents zijn illegaal” terwijl er voldoende legale toepassingen zijn.
Mijn punt was ook vooral dat het niet toegestaan wordt in de app-store want “torrents zijn illegaal” terwijl er voldoende legale toepassingen zijn.
er zijn theoretisch legale mogelijkheden. In praktijk kun je stellen dat het merendeel van het gebruik dat pertinent niet is. :)

overigens is het ook weer niet helemaal verboden, kijk maar naar DS Get, wat synology's app is voor hun download station. En dat is een NAS based bittorrent ding.
Met infuse kan je streamen vanaf bvb een plex server maar je kan ook files lokaal op je device zetten om mee te nemen op reis.
of je koopt gewoon een android telefoon en heb je helemaal geen gezeik zoals dit....
nee, dan heb je nog meer gezeik, omdat het daar standaard is dat je apps op je toestel kunt schuiven, zonder enige vorm van verificatie. Hoeveel alternatieven zijn er inmiddels voor google play die vol staan met illegale software en/of malware geïnfecteerde rotzooi?

Bij deze constructie moet je nog steeds expliciet een certificaat van een developer accepteren op je iPhone of iPad, zolang je dat niet doet, loop je significant minder risico.
Bij de Android constructie moet je alsnog developer mode aanzetten (geheime/vage toetsen combi in een specifiek settings menu wat je niet zomaar per ongeluk kan doen) en dan side-loaden aanzetten...
Dus bij beide kan het niet zomaar...
Is niet echt nieuws maar al jaren het geval. Ik heb het zelf ook weleens uitgeprobeerd, destijds om een emulator te kunnen draaien voor gameboy games op de iPad. Ging wel ok maar uiteindelijk m'n abo niet verlengd--want dit soort zaken werken allemaal met abonnementskosten. Verder is het geloof ik ook niet echt een groot issue. Op m'n android telefoon sideload ik gewoon apk's die niet in de play store staan, maar zo om mij heen hoor ik nooit echt van mensen dat ze jailbreaken of dit soort trucjes gebruiken om dat voor elkaar te krijgen op ios. Mensen lijken het wel te accepteren als limitatie van ios.
Dit speelt al minimaal 6 jaar, weinig nieuwswaarde dit..

iPAWIND, IpaStore, BuildStore, iPwnStore zijn wat namen die mij te binnen schieten.
zoals met alle dingen: als het geen (groot) probleem is, kan het doorsudderen, relatief onder de radar. Maar nu blijkt dat zelfs grote tech bedrijven er zeer aanzienlijk misbruik van maakten, en allerhande schimmige bedrijven via al dan niet gestolen certificaten allerhande schimmige en illegale software distribueren, wordt het een ander verhaal.

De boel is vanuit de schaduw in het licht beland. En dan veranderen de zaken doorgaans heel snel.
Misschien moet je je afvragen of, als je te beroerd bent om een paar euro voor een app uit te geven (die draaien op een telefoon die soms duurder is dan wat een bijstandsmoeder per maand krijgt om van te leven). Ik begrijp piracy in z'n algemeenheid eigenlijk al niet helemaal, maar dit soort alternatieve app stores gebruik je alleen als je niet wilt betalen voor de apps. Heel veel apps kosten amper meer dan een brood bij de supermarkt. Waar heb je het over. En als je dat niet kunt betalen, had je misschien beter af geweest met een heel goedkoop telefoontje, want dan had je dat geld voor een iPhone eigenlijk daar niet aan uit moeten geven.
Het gaat niet alleen om betaalde apps, maar zeker ook om apps die uberhaupt de appstore van apple niet binnenkomen. Dergelijke apps kan je dan wel verspreiden zonder dat je aan Apple's strenge regels hoeft te voldoen (vaak wel incl. gratis malware :p)

Verder vinden consumenten het blijkbaar niets voor elke afzonderlijke app (of film) keer op keer hun portemonnee te trekken. Daarom zijn ook diensten zoals Netflix en spotify populair. Een enorm aanbod waaruit je kan kiezen voor een vast bedrag per maand.

[Reactie gewijzigd door Standeman op 14 februari 2019 12:13]

Ja, het lijkt vooral om populaire betaalde apps te gaan.
Onzin. Gaat niet om fair-trade toestellen maar het feit dat je niet wilt betalen voor voor een app van 99 cent. Weet niet wat kindslaven en cacao daar verder mee te maken hebben.
Dit bestond al jaren sinds de jailbreak community geen success meer heeft. Want veel mensen gebruikte een jailbreak vooral voor piraten appjes. En daardoor is dit bestaan puur voor alleen voor de apps en niet meer om je eigen ios te personaliseren en te tweaken. Het wordt gedaan door een certificaat te accepteren om vervolgens de apps te laten werken. Na een tijdje wordt die certificaat door apple geblokkeerd en staat er inmiddels al een nieuw certificaat beschikbaar om te accepteren. Maar het ergste is dat je door die certificaten te accepteren hun te veel macht geeft en zo misschien wel een app kan installeren met malware erin. En dat vertouw ik niet. Te veel risico’s
Het is Apple's omgeving. Hun willen schijnbaar een family friendly appstore kunnen aanbieden zonder risico's te lopen, het is volledig aan hun wat ze wel of niet willen aanbieden. En zelf heb ik er wel respect voor als een bedrijf achter zijn normen en waarden staat.
Het is Apple's omgeving.
Ik vind dat alleen een geldig argument zolang er voor de klant nog redelijke alternatieven zijn. Ik denk niet dat er een redelijk alternatief voor de Apple appstore is.
Ook switchen naar Android is geen redelijk alternatief, want Google doet hetzelfde.

Het gaat om de machtspositie die bedrijven die belangrijke infrastructuur beheren hebben t.o.v. hun klanten. Ik reken Apple, Google, Facebook. Microsoft en Twitter onder die bedrijven, net zo goed als banken, energie en water bedrijven, ISP's.
We accepteren ook niet dat een waterleidingbedrijf weigert water te leveren aan bepaalde bedrijven/mensen omdat hun activiteiten niet stroken met de normen en waarden van het waterleidingsbedrijf.
een App Store is geen primaire levensbehoefte, zoals water.

Apple hoeft geen open App Store te bieden. Heel simpel. Op Android kun je nog alternatieve appstores installeren. Maar of je daar gelukkig van wordt? De security risico's zien er behoorlijk ernstig uit.
Ik ben een voorstander dat men met juridische breekijzers die appstore-concurrentie aanwakkert. Men zou niet mogen toelaten dat er één it-bedrijf is dat zijn markt/platform zo op slot doet. Dat geldt voor Apple, Microsoft, Google en uiteraard ook voor Amazon en consoorten.
Maar waarom koop je dan een Apple telefoon? Daar ga je juist voor het stukje veiligheid en "niet nadenken".
En dat hele stukje veiligheid trap je nou in een keer onderuit, zoals StGermain ook al aangaf: StGermain in 'nieuws: Onofficiële iOS-appstores verspreiden aangepaste apps m...
Lekker hoor, je werktelefoon jailbreaken 8)7
lol een certificaat installeren is geen jailbreak
"Ik moet hem gebruiken" Doe je dit met een werktelefoon? 8)7
schijnveilig heid noem ik ios.
Vertel, waarom?

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische voertuigen

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True