Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Camera van Android-telefoons was zonder toestemming te gebruiken

Beveiligingsonderzoekers hebben een lek ontdekt waardoor ze camera's van Android-toestellen konden activeren zonder dat gebruikers toestemming gaven. Dat lukte door fouten in de camera-apps van Google en Samsung. Mogelijk zit het lek ook in camera-apps van andere merken.

Onderzoekers van Checkmarx deden onderzoek met een Pixel 2 XL en Pixel 3. Ze ontdekten dat de Google Camera-app bugs bevat waardoor permission bypass issues kunnen optreden. Kwaadwillenden kunnen daarmee toegang krijgen tot de camera, bijvoorbeeld via een app, zonder dat gebruikers toestemming geven voor het gebruik van de camera.

De onderzoekers demonstreerden dat door een weerapp te maken die alleen toestemming vraagt om bestanden op te slaan. Als gebruikers de app opstarten wordt er een blijvende verbinding met een command & control-server opgesteld. Vanuit de c&c-console kan de aanvaller vervolgens de camera activeren en foto's of video's uploaden naar de server.

Ook kan op deze manier bijvoorbeeld een inkomend gesprek afgewacht worden om de audio af te luisteren. Bovendien kunnen de gps-coördinaten in foto's gebruikt worden om slachtoffers te lokaliseren. Volgens Checkmarx is dit allemaal mogelijk zonder dat de gebruiker er iets van merkt. De camera kan zelfs geactiveerd worden als het scherm van de telefoon uitstaat, of als de gebruikers midden in een gesprek zitten.

Makers van Android-telefoons leveren meestal eigen camera-apps mee. Checkmarx vond het lek in de camera-app van Google, maar merkte dat het ook werkt in de camera-app van Samsung. Het beveiligingsbedrijf heeft Google en Samsung na de ontdekking ingelicht; dat was begin juli. Google heeft het lek diezelfde maand gedicht met een update voor de Camera-app.

Google erkende in augustus dat het lek waarschijnlijk ook andere Android-smartphones treft en heeft een patch beschikbaar gesteld voor partners die Android-toestellen maken. Checkmarx heeft met 'meerdere fabrikanten' contact opgenomen in augustus, waarna Samsung bevestigde ook getroffen te zijn. Samsung zegt het lek ook gedicht te hebben.

Of er misbruik is gemaakt van het beveiligingslek is niet bekend. Ook is onduidelijk of toestellen van meer fabrikanten kwetsbaar zijn en of dat nog steeds het geval is. Checkmarx heeft zijn publicatie online gezet in overeenstemming met Google en Samsung.

Door Julian Huijbregts

Nieuwsredacteur

19-11-2019 • 19:49

86 Linkedin Google+

Submitter: AnonymousWP

Reacties (86)

Wijzig sortering
Ha! En mijn zus noemde me paranoide omdat ik de camera voor heb afgeplakt! Okay, is misschien ook paranoide, maar ik gebruik die camera toch niet.
Webcam van de laptop heeft ook een klepje die altijd dicht is.

Maar even on topic: als gps gebruikt wordt dan zie je dat in je status bar. Zou misschien ook wat zijn om dat voor de camera en microfoon te doen.

[Reactie gewijzigd door Azrona op 19 november 2019 20:03]

Ik zie echt helemaal voor me een geval van een OP7 pro camera die ineens omhoog komt :D

Oopsie
Dit gebeurt wel eens. Zo zit er een bug in Firefox die ervoor zorgt dat sommige websites de front facing camera activeren. Is te voorkomen door Firefox de camera permissies af te nemen, maar zo af en toe zet je die per abuis weer aan en dan hop, komt die camera weer naar boven schuiven.

https://forums.oneplus.co...y-while-browsing.1098155/
Tip: Bouncer, en niet de permissie permanent geven maar tijdelijk zoals een fatsoenlijk capability-based security design hoort te werken. Snap eigenlijk ook niet waarom Firefox toegang moet hebben tot de front facing camera. Maar ik gebruik dat ding ook nauwelijks.
Omdat Firefox een webbrowser is en die op zijn beurt weer websites toegang tot de camera moet kunnen geven zodat zaken als Google Hangouts mogelijk worden.
Het is eigenlijk heel logisch dat een browser toegang moet hebben tot de camera, web apps (PWA) kunnen deze namelijk gebruiken. Het is wel minder logisch dat niet de PWA om permissie vraagt maar Firefox zelf.
Is toch 1 van de redenen waarom ik voor die telefoon gekozen heb. Je weet gelijk 100% zeker dat dat ding niet geactiveerd wordt zonder dat je het zelf door hebt, zonder dat je duct tape op je toestel hoeft te plakken.
Hier een Mi Mix 3. Dit is gewoon een serieuze slider telefoon. Google maar eens. Echt heel tof!
je hebt het nu alleen over de frontcamera.. de achtercamera heeft dat namelijk niet en die kan dus actief zijn zonder dat je het weet.
Letterlijk een gevalletje 'kiekeboe'dan :-)
"Is that your camera sticking out your pocket or are you just happy to see me?"
Standaard gaat er ook een led branden als je camera gebruikt wordt. Helaas kunnen de hackers (of gebruikers van de hacks) die soms ook uitschakelen.

Sowieso is het wel handig om de camera van je laptop af te pakken als dat mogelijk is. Op een laptop is dat prima te doen. Op een telefoon wat minder.
Maar bijvoorbeeld een microfoon afplakken wordt al wat lastiger. Die is ook makkelijk te misbruiken.

[Reactie gewijzigd door fm77 op 19 november 2019 20:08]

Mijn telefoon heeft geen led.
Dan zie je opeens waar die led handig voor kan zijn :p Zolang die aan gaat dan...
Maar een laptop meestal wel, en die is dan vaak ook nog hardwired.
Als een laptop fabrikant zijn ledje niet hardware matig verbind met de camera (dus zodra de camera stroom krijgt krijgt het ledje dat ook) is het schijnveiligheid want dan kunnen ze die uitzetten.

Ik ben nog steeds een voorstander van hardware schuifjes waarmee je fysiek de toegang tot je mic en cam uitzet, maar die vind je bijna niet meer.
Voor camera zijn er opplakschuifjes te koop. Voor microfoon werkt zoiets natuurlijk niet zo goed. Softwarematig je microfoon muten is ook geen oplossing tegen zoiets.
Zelfs als er een notificatie led is, is het mogelijk om zo goed als ongemerkt een foto te nemen, als je de camera-toegang kan hacken. Om een foto te nemen heb je immers maar een fractie van een seconde toegang tot de camera nodig.
Ja, precies. Dus dan ga je met software aangeven of de camera/mic gebruikt worden. Software waar ook weer fouten in kunnen zitten :)
Zeker niet :) bij mij zijn ook alle webcams afgeplakt of omgedraaid en de front camera van m'n smarphone is popup.

of we zijn beide paranoide natuurlijk :+
Hoe mijn gsm ook ligt : ofwel zien ze het bureaublad in macro, ofwel het plafond :O
Ha! En mijn zus noemde me paranoide omdat ik de camera voor heb afgeplakt! Okay, is misschien ook paranoide, maar ik gebruik die camera toch niet.

Maar even on topic: als gps gebruikt wordt dan zie je dat in je status bar. Zou misschien ook wat zijn om dat voor de camera en microfoon te doen.
Maar even on topic: als gps gebruikt wordt dan zie je dat in je status bar. Zou misschien ook wat zijn om dat voor de camera en microfoon te doen.
Goed idee +2
Dan moet een BlackBerry kopen , die heeft D-tek die geeft aan wat en wanneer een camera of microfoon of locatie wordt gebruikt door een app
In die video doen ze er wel heel erg ingewikkeld over zeg, zo bijzonder is het niet wat ze doen. Ze besteden meerdere minuten met het beschrijven van hoe men via hun applicatie de bestanden van de telefoon op afstand kan bekijken, wat helemaal niet gek is aangezien de nep weer app die op de telefoon staat, storage permissions heeft. Ze typen een help commando in de console, maar vervolgens klikken ze gewoon op de GUI knop om een foto te maken.

Ook is het niet zo makkelijk om dit te misbruiken. De gebruiker zal namelijk altijd zien dat er een foto wordt gemaakt (de camera app opent). Ze demonstreren een scenario waar het stiekem gedaan kan worden door te detecteren wanneer de telefoon met het scherm plat op te tafel ligt en alleen dan een foto maken. Gefeliceerd met je foto van het plafond, heel interessant.
”Checkmarx created a proof-of-concept app that appeared to be a weather app on the surface but was scooping up copious amounts of data in the background.

“The app was able to take pictures and record videos even when the phone's screen was off or the app was closed, as well as access location data from the photos. It was able to operate in stealth mode, eliminating the camera shutter sound, and it could also record two-way phone conversations. All of the data was able to be uploaded to a remote server. “


Ik denk dat je niet goed opgelet hebt. Dit vind jij niet bijzonder? Dit is lijkt me een gigantische kwetsbaarheid. Dit soort dingen hoort helemaal niet mogelijk te zijn voor een simpele app die toestemming heeft voor ongeveer niks.

[Reactie gewijzigd door quantumleapje op 19 november 2019 22:21]

Ik heb alleen de video gekeken, en daar was het ergste wat ze hadden gedaan de "stealth" modus: met scherm aan, toen de mobiel met het scherm op de tafel lag. Het volume aanpassen zodat de app geen geluid maakt is niet zo bijzonder. Je kan natuurlijk als je een video-opname maakt ook de microfoon opnemen, maar in het voorbeeld zag je duidelijk dat er een video werd opgenomen op het scherm. Ik denk dat ik het meteen door zou hebben als de camera app tijdens het bellen zou openen.

[Reactie gewijzigd door Derkades op 19 november 2019 22:21]

Een malafide app die je niet in de app store kunt vinden kan ongemerkt foto/filmpjes maken..........als je camera met scherm naar beneden ligt of je als je echt stekeblind bent anders merk je echt wel dat je camera-app opeens opent.

Tjonge jonge wat een GIGANTISCHE kwetsbaarheid.
“The app was able to take pictures and record videos even when the phone's screen was off or the app was closed”
Quote van derden, Checkmarx zelf rept daar met geen woord over.
Een beetje inlezen hierover helpt... in een tekst kan je nu eenmaal makkelijker meer info kwijt dan in een video.

Of ben je van de generatie die alleen nog video’s bekijkt?

[Reactie gewijzigd door quantumleapje op 21 november 2019 07:20]

Met dit soort berichten wordt toch weer pijnlijk duidelijk hoe belangrijk software-updates zijn op mobiele toestellen. Ik hoop dat Android echt eens gaat verbeteren op dat front. Ze doen hun best de laatste tijd om Android makkelijker update-able te krijgen maar veel fabrikanten stoppen toch nog steeds na een jaar of 2 vanaf lanceerdatum van het toestel met updates. Onverantwoord.
Je suggereert dat dit onderdeel van het Android OS is. Echter staat deze kwetsbaarheid los van het OS en dus ook van security patches.

Dit gaat om een kwetsbaarheid in de camera app van het OS. Deze wordt wel voor geïnstalleerd (als systeem app) op toestellen, maar staat los van het OS zelfs.
Dan kan je beter met een systeem te doen hebben zoals iOS waarbij hardware alleen aangestuurd kan worden via de API's van Apple. Aangezien je als gebruiker van een mobiel OS toch al vrijwel nul controle hebt over wat apps doen ten opzichte van programma's op een PC is dat de beste manier.
Tsja, Android kan het overduidelijk niet voor je beslissen, dus dan maar liever wat veiligheid.
Dit gaat om een kwetsbaarheid in de camera app van het OS. Deze wordt wel voor geïnstalleerd (als systeem app) op toestellen, maar staat los van het OS zelfs.
Dat kan wel zijn, maar als de fabrikant geen updates meer uitgeeft, blijf je met zo’n toestel een groot risico lopen. Tweakers bedenken dan om een andere app te installeren en de standaard app niet meer te gebruiken. Probleem is echter dat de gemiddelde gebruiker geen tweaker is en daarmee wordt blootgesteld aan een groot veiligheidsrisico dat niet wordt opgelost als je geen ondersteuning meer hebt.
Volgens mij snap je 'm niet.

Op een andere noot. Als eindgebruiker blijf je daarnaast altijd verantwoordelijk voor de apps die je gebruikt. Als je dan apps gebruikt die al jaren niet meer geüpdatet zijn.. Tsja, is het dan de schuld van de fabrikant of ontwikkelaar?

[Reactie gewijzigd door LocK_Out op 19 november 2019 20:13]

Tsja, is het dan de schuld van de fabrikant of ontwikkelaar?
Eh, ja, dat is de schuld van de fabrikant. Als je een toestel uitbrengt dat veel langer dan 2 jaar technisch meegaat en je stopt de softwareondersteuning na 2 jaar na lancering (dus voor de meeste mensen die niet direct bij de lancering kopen is het nog veel minder dan die 2 jaar) dan laat je bewust je klanten grote risico’s lopen. Dat is de fabrikant aan te rekenen.
[...]


Eh, ja, dat is de schuld van de fabrikant. Als je een toestel uitbrengt dat veel langer dan 2 jaar technisch meegaat en je stopt de softwareondersteuning na 2 jaar na lancering (dus voor de meeste mensen die niet direct bij de lancering kopen is het nog veel minder dan die 2 jaar)
Dit heeft Sony vorige week gedaan bij mijn XPERIA XZ1 compact welke in september 2017 uit is gebracht en ik in november 2018 hebt aangeschaft.
Het staat nog te koop op de site van Sony zelf voor €559,00(!).
Voor mij nooit geen Sony meer. Eigenlijk moet je een goedkoop nieuw uitgebracht toestel kopen en zodra de updates stoppen, 1 tot 2 jaar, weer zo'n goedkope nieuw uitgebrachte toestel kopen. Oude inleveren voor x Euro statiegeld.
De camera app (van Samsung bvb.) is een standaard app. Gezien dat een camera essentieel is aan een smartphone zou je toch verwachten dat die app zou upgedated worden. Ik weet zelfs niet of je 'm kan verwijderen.
Misschien kan dat ook wel gewoon. De Google camera app wordt ook gewoon geüpdate vanuit Google Play.
Ik weet alleen niet of dit bij Samsung ook zo werkt.

Ingebakken (systeem) apps op mijn Nokia worden ook gewoon geüpdate vanuit Google Play. Grote aanpassingen worden via OTA (Systeem) updates gedaan.
Bij Samsung wordt de camera upgedated via de beveiligingspatch (er staat dan meestal bij dat de stabiliteit van de camera verbeterd wordt) of een systeemupdate.
Duidelijk, dan ligt het dus aan de fabrikant van het toestel of dit wel of niet kan.
Lijkt mij dat als je als fabrikant applicaties meelevert die je als eindgebruiker meestal niet kunt verwijderen je wel degelijk de verantwoordelijk hebt om zo'n applicatie bij een lek als deze bij te werken.

We hebben het niet over een of andere app die de eindgebruiker zelf uit de Play Store heeft lopen installeren.

[Reactie gewijzigd door !mark op 19 november 2019 20:22]

Zonder verdere uitleg lijkt het er meer op dat jij het niet begrijpt. (edit: uitleg werd later toegevoegd)
Deze wordt wel voor geïnstalleerd (als systeem app) op toestellen, maar staat los van het OS zelfs.
Een system app is een applicatie meegeleverd met het besturingssysteem, en daarom is het daar een onderdeel van.

Verder heeft @Steven.w gelijk. Als de fabrikant geen update uitbrengt, dan blijven smartphones voor de gemiddelde consument kwetsbaar.

[edit]
Op een andere noot. Als eindgebruiker blijf je daarnaast altijd verantwoordelijk voor de apps die je gebruikt.
Ah, victim blaming. Het is jouw schuld dat er wordt ingebroken in je huurhuis waarvan de huurbaas het niet toestaat dat het brakke hang- en sluitwerk vervangen wordt.
Als je dan apps gebruikt die al jaren niet meer geüpdatet zijn.. Tsja, is het dan de schuld van de fabrikant of ontwikkelaar?
Als het gaat om bekende kwetsbaarheden in applicaties die niet verwijderd kunnen worden en het model is nog in redelijkheid en billijkheid binnen de economische levensduur, dan ligt dat toch echt aan de fabrikant.

Tweakers kunnen veel. Als de fabrikant het toestaat (wat eigenlijk al helemaal een gek iets is, maar dat terzijde) dan kunnen zij bijvoorbeeld een custom ROM installeren, een alternatieve applicatie installeren of soms (met wat hacks/root rechten) een systeemapplicatie verwijderen. Hiermee kunnen zij de levensduur van een toestel wat rekken. Dat is zeker geen overbodige luxe, want de hardware in smartphones maakt over de afgelopen paar jaar helemaal niet zulke grote stappen meer ten opzichte van 3-10 jaar geleden. Een oud toestel is nog prima bruikbaar.

Dat zijn echter tweakers. De meerderheid betreft geen tweakers. Dat zijn gewone consumenten waarvoor het gewoon moet (blijven) werken, en veilig. Helaas doen fabrikanten bijzonder veel moeite om geplande veroudering in te bouwen in hun toestellen: locked bootloaders, brakke SoC's die geen updates krijgen, de periode waarin updates uitkomen baseren op hoeveel winst een toestel oplevert... Dat allemaal draagt bij aan grote verspilling, en onveilige situaties als een gemiddelde consument een toestel langer gebruikt dan de levensduur die de fabrikant bepaalt.

[Reactie gewijzigd door The Zep Man op 19 november 2019 21:15]

Als in een huurcontract staat dat de verhuurder alleen de eerste twee jaar minderwaardig hang- en sluitwerk zal vervangen moet je als huurder niet na 4 jaar gaan huilen dat je huurbaas niets doet aan de veiligheid van je huis. Daar heb je zelf voor getekend.

Zelfde als met beveiligingsupdates op smartphones. Fabrikanten beloven geen oneindige updates dus consumenten moeten niet gaan lopen miepen als ze dat ook niet doen. Dat stond in de voorwaarden toen je die telefoon kocht. Hadden ze die maar moeten lezen en een ander merk moeten kiezen als dat ze die niet bevielen.

Als jij het echt zo erg vindt dat fabrikanten maar een x aantal jaar updates geven moet je in Den Haag of Brussel aan de bel trekken, want die smartphone bouwers houden zich gewoon aan de wet.
Dan ben je alsnog afhankelijk van de fabrikant voor een update van de camera applicatie. Ik denk dat we allebei weten hoe groot de kans daarop is bij toestellen van ouder dan 2 of hoogstens 3 jaar.

[Reactie gewijzigd door !mark op 19 november 2019 20:11]

Echter staat deze kwetsbaarheid los van het OS
Eigenlijk niet. Het zou het OS moeten zijn die de toegang geeft tot de camera, niet een App.
Anders kan iedere app zichzelf gewoon alle rechten geven zonder vragen aan de gebruiker.
Je suggereert dat dit onderdeel van het Android OS is. Echter staat deze kwetsbaarheid los van het OS en dus ook van security patches.

Dit gaat om een kwetsbaarheid in de camera app van het OS. Deze wordt wel voor geïnstalleerd (als systeem app) op toestellen, maar staat los van het OS zelfs.
Het is echter wel Google's camera app, dus dat verschil is echt vrij triviaal voor de gemiddelde gebruiker.
Er staat toch juist in het artikel dat het in de Apps zit? Die zijn juist goed te updaten, is geen heel OS update voor nodig!
Of het nu in de app zit of het besturingssysteem doet niet echt ter zake als een fabrikant de ondersteuning na 2 jaar na lanceerdatum stopt. Je bent met zo’n toestel gewoon de pineut.
Alsof constante updates een onverdeeld genoegen zijn. Ik zou zeggen dat ze ook een groot risico zijn. Dankzij die constante updates kan Google zo weer een andere zwakte in de app moffelen. Doordat de code voortdurende wijzigt heb je weinig tot niets aan open source omdat het heel veel tijd kost van experts om het steeds weer door te lichten. Na elke update zou je dat opnieuw moeten doen. En dat doen ze echt niet. Ze willen alleen maar even scoren.

Die onderzoekers maken de zaak er in algemene zin ook niet veiliger mee, want een groot deel van de gebruikers krijgt geen updates en wordt dankzij hen nu kwetsbaarder doordat ze criminelen geattendeerd hebben op een nieuwe mogelijkheid. Het is wel weer een verkoopargument om mensen te verleiden steeds maar nieuwe telefoons te kopen, hoewel weinigen daar iets aan gelegen laat liggen.

Dat Google een waterdicht systeem wil maken waar Amerikaanse veiligheidsdiensten niet op in kunnen breken, gelooft toch hoop ik niemand. Eerder zitten ze hun api's zo te ontwerpen dat ze legaal alle informatie langs hun servers kunnen sturen en delen met hun vrienden. Daarbij geeft het brakke systeem hen de benodigde "deniability" (wij waren het niet).

Ik vind het bijna schijnheilig dat mensen hier willen voorstellen dat je veilig bent als je maar steeds de laatste updates installeert. Als dat zo was dan had deze zwakte er ook niet jaren in kunnen zitten. Het is dat er onderzoekers zijn die graag naam willen maken door dit soort willekeurige ontdekkingen, anders had hij er nog vele jaren in gezeten. Nu moeten ze weer wat anders verzinnen al hebben ze vast nog tig andere mogelijkheden om hetzelfde te bereiken. Want de show must go on.

Dat updates zelf een bron van onveiligheid zijn, blijkt ook uit het feit dat criminelen apps in de store zetten die ze pas later met updates onveilig maken. Beter zou zijn als je alleen maar een paar vertrouwde apps installeert en alle updates stil zou zetten, en voorkomt dat er voortdurend maar geupdate wordt.

Er was een tijd dat software fabrikanten jaren besteden om hun programma's bug vrij te maken voor ze die op de markt gooiden. Microsoft heeft helaas een slecht voorbeeld gegeven door brakke windows-versies uit te brengen. Het werd standaard dat 1.0-versies brak waren en de klant de bugs maar moest opsporen.

Met software as service is het helemaal een dolle pret geworden. Constante updates waar je niet om gevraagd hebt en de meeste gebruikers ook niet op zitten wachten. Alleen een clubje powerusers is er weg van. Ik vraag me af wat autogebruikers er van zouden vinden als de fabrikant besluit tot een interieur verandering van de auto. Nu zijn de stoelen ineens rood geworden want onze designers vinden dat hipper. We hebben ook even het instumentarium veranderd. Is dat een servicie? Ik vind van niet. Ik wil gewoon een apparaat dat goed ontworpen is en blijft werken en geen constante updates nodig heeft omdat het brak is. Dat ie wat minder kan dan de nieuwste apparaten neem ik voor lief.

Dat Android toestellen ongevraagd en ongemerkt foto's lopen maken is geen zwakte maar een feature die ze voor de veiligheidsdiensten bouwen, net zoals er volkomen onnodig een microfoon zit in een verwarmingsthermostaat en dat de slimme speaker te onpas de microfoon activeert. Allemaal features, en het excuus is altijd hetzelfde: sorry foutje. Dat is nu eenmaal onvermijdelijk omdat wij steeds updaten. Zijn mensen nu echt zo naief dat ze deze doorzichtige smoezen geloven?

Dat krijg je als je je de privacy laat bewaken door een privacydief

Dat onze overheid braaf aan dit bedrog meewerkt, spreekt ook boekdelen.

[Reactie gewijzigd door Elefant op 19 november 2019 21:20]

Jammer dat je een -1 krijgt, want je slaat natuurlijk de spijker op de kop.
Dat Google een waterdicht systeem wil maken waar Amerikaanse veiligheidsdiensten niet op in kunnen breken gelooft toch hoop ik niemand.
Helaas, ik vrees dat de grote massa dit wel gelooft... Ze worden bovendien steeds stoutmoediger: ze zeggen tegenwoordig gewoon recht voor je raap dat ze achterdeurtjes in hard- en software willen, "om kindermisbruik tegen te gaan" en andere redenen. Waarom zouden ze het tenslotte nog stiekem in achterkamertjes bespreken als de grote massa er toch niets meer om geeft en er - buiten hier en daar wat gemopper - toch geen echt protest komt?

Te triest voor woorden eigenlijk, maar of het nog terug te draaien valt betwijfel ik zeer.
Die apps waarvan de meest recente versies Android 9 of 10 vereisen?
De camera-app is meestal een systeemapp. Dit kan wel op de Play Store worden gezet en zodanig geüpdatete, maar tot nu toe heb ik alleen camera-apps gezien die niet via een store kunnen worden geüpdatete.
Ja, maar in het artikel staat ook dat de app toegang krijgt tot camera en gps, zonder dat daarvoor toestemming is gegeven. Dat lijkt mij toch een onvolkomenheid in het OS te zijn die misschien ook door andere apps te misbruiken is.

[Reactie gewijzigd door Homerius op 19 november 2019 21:00]

Dat verbaasd mij nog het meest eigenlijk; waarom kan een app een systeem-permissie omzijlen, en is dat niet een bug in het OS.

Lijkt mij dat het systeem geen toegang moet verlenen zolang de gebruiker het systeem geen toegang heeft gegeven?
Anders kunnen app-bouwers, zoals Facebook, dit ook moedwillig inbouwen?
ja dat, of je krijgt de update pas na 2 jaar.
Precies. De concurrent heeft dat toch aanmerkelijk beter voor elkaar. Gemiste kans mijns inziens.
hahah, had een galaxy toen ie net nieuw was. paar jaar geleden. heb de nieuwste android binnen 2 jaar nooit gehad. Ben maar over gegaan op het veel veiligere, efficientere, snellere, iOS.
Dus omdat een fabrikant security-updates belooft verwacht jij een nieuw besturingssysteem te krijgen?

Komt op hetzelfde neer wat @Ruw ER ook al zei. Onwetende consument die schuld afschuift omdat ze zich zelf niet verdiepen in wat ze nou precies kopen.
Ik weet wat je probeert te zeggen en dit is niet waar. Enige wat apple doet is zorgen dat je telefoon niet ineens random uitvalt omdat de batterij de piekstroom niet meer kan leveren. Dit is btw ook gewoon uit te zetten als dat je niet bevalt.
Ok dit slaat alles. Apple’s chips zijn zo geoptimaliseerd als maar kan voor de software. Daar komen de hogere scores vandaan. Android doet btw niet anders hoor. Die trekken ook het maximale uit de hardware. Alleen de hardware is niet zo sterk. En de software 100x inefficiënter. Een hardware fabrikant zoals apple gaat geen dingen doen om expres de batterij kapot te maken. Degradatie is overigens een constant chemisch proces. Heeft alles met accu’s.
Ik ben juist trots op deze community.

Comments die gewoon sterk relevant zijn, het onderwerp goed uitleggen en bronnen vermelden staan in mooi groen.

Comments waar mensen generaliseren op basis van een post van iemand anders, waar de subjectiviteit vanaf druipt of die gemaakt worden om reacties te trekken, krijgen een mooie rode -1.

On topic heb je op een punt gelijk: iOS heeft zijn eigen problemen. Toch heb ik het idee dat Apple minder vaak met dit soort zaken in het nieuws komt (uitzonderingen zijn er) omdat de boel een stuk dichter is getimmerd. En bij Android niet, met opzet. Beide hebben hun + en - met die aanpakken.
Comments waar mensen generaliseren op basis van een post van iemand anders, waar de subjectiviteit vanaf druipt of die gemaakt worden om reacties te trekken, krijgen een mooie rode -1.
Dan kijk je niet goed, wat je zegt gebeurd zeker maar wordt voornamelijk 1 kant op gedaan, generaliseren over Android +1, generaliseren over Apple -1.

Daarnaast is het eerst wat ik hoor in topics over Android updates, hoe geweldig Apple het wel niet doet (offtopic maar toch altijd +1). Tuurlijk zet dat iedereen meteen al op scherp, denk je echt dat mensen op dit artikel klikken om dat te horen/lezen? Dus ja, dan kan je mensen die daar op reageren inderdaad bestraffen, maar waarom niet de onruststoker? Die in dit geval ook nog eens onwaarheid verkondigd, het merendeel (zeker als je kijkt naar de goed verkochte modellen, en nog langer als je kijkt naar hetzelfde prijssegment) ondersteund wel langer dan 2 jaar. Maargoed de discussie daarover is nu bijzaak geworden.

Nee mijn trots is al lang en breed weg, leuk joh dat nu.nl bij aantrekken hier met reclamecampagnes. En nee dat zorgt niet dat er geen goede reacties meer zijn, alleen zit er steeds meer ruis omheen...
Dit is iets anders. Gebruikers hadden daadwerkelijk de app toegang gegeven voor de camera, die echter gebruikt werd terwijl je dat niet verwacht.
Hier is het dat een app de camera kan gebruiken, terwijl de gebruiker er geen toegang voor had gegeven.
Het is inderdaad anders ja. Heel goed. Alleen totaal niet het punt dat @Kiswum wil maken. Het punt dat hij wil maken is dat er op alle OSen leaks, bugs, fouten zijn, zelfs van vergelijkbare aard. Ik vind het dan weer bijzonder dat dit niet begrepen wordt uit de reactie.
Het is juist totaal niet vergelijkbaar. Bij het ene heb je die toestemming gegeven, dat een app daar misbruik van maakt is wat anders (mede waarom ik nu op wt.social zit maar dat terzijde). Bij deze exploit kan het altijd gebeuren.
Wil dit zeker niet bagatelliseren maar dit vereist dus dat de gebruiker: Een sketchy applicatie moet installeren via de playstore of zelf sideloaden en deze toestemming geven om uw files te mogen uitlezen.

Oke, toegang tot de camera zou zeker niet mogen in dit scenario, maar je hebt wel in essentie "een virus" geinstalleerd en deze toegang gegeven tot uw files.
Ik heb een OnePlus 7t Pro met zon uitschuif camera. Ik merk in firefox op bepaalde websites dat mijn selfie camera ineens uitschuift.

Na wat zoeken er achter gekomen dat dit een bug is. Dit gaat overigens ook zonder toestemming gegeven te hebben. Het hoeven dus niet altijd sketchy apps te zijn. Wel handig dat de uitschuif camera duidelijk laat zien als de camera gebruikt wordt.

Edit: ah sorry. Was ff in de war. Ik bedoel natuurlijk de 7t pro :+.

[Reactie gewijzigd door Annihilism op 19 november 2019 21:40]

9t pro?

Ben jij met mc fly op pad geweest? :)
Dat heeft inderdaad niets met sketcky apps te maken, wel met onoplettende gebruikers die klakkeloos op ja klikken als ze een app, Firefox in dit geval, installeren.
Kees van der Spek (Oplichters in het buitenland/aangepakt) doet dit toch al een tijdje, zelfs bij iphone? Dus er is wel GEbruik van gemaakt, in dat geval geen MISbruik :)

Maar goed... het programma laat dus wel zien dat gebruikers erin trappen.
En dat is het mooie van de BlackBerry versie van Android. Er wordt altijd een melding gegeven en gelogt als privacy gevoelige dingen zoals bv de camera of contacten uitgelezen worden. Of het nou door de camera app zelf of een ander proces op de achtergrond is maakt niet uit.
hardwired lampje dat zodra de camera van stroomtoevoer wordt voorzien ook van stroom wordt voorzien. Dan kan de camera dus alleen aan als ook het lampje aan is en zie je altijd wanneer de camera aan is. Dat kan zelfs voorzien worden van een duidelijk geluidssignaal. Het moet dus onmogelijk zijn om softwarematig het lampje afzonderlijk te bedienen. Camera in gebruik = lampje brandt.
Daarmee kan nog steeds gebruik worden gemaakt van exploits om de camera aan te zetten, maar niet zonder dat de gebruiker dit bemerkt.
reageerde op verkeerde

[Reactie gewijzigd door Qwilo op 20 november 2019 22:21]

Dit is toch logisch? Volgens mij kan iedere app een camera intent oproepen om een foto of video te nemen zonder camera permissie. De app maakt namelijk dan gebruik van een andere app (de camera app in dit geval) die reeds de permissies heeft gegeven. Alleen hier wordt er 'slim' gebruik van gemaakt door met de proximity sensor te detecteren of iemand niet aan het kijken is/tegen het oor houdt/vlak op tafel ligt.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True