Google verwijdert negen apps uit Play Store die inloggegevens Facebook stalen

Google heeft negen Android-apps uit zijn Play Store verwijderd nadat onderzoekers constateerden dat de apps logingegevens voor Facebook buitmaakten. Het gaat onder andere om de app PIP Photo, die 5,8 miljoen keer gedownload is.

Beveiligingsbedrijf Dr Web trof tien malafide apps aan die Facebook-logins vergaarden. Negen daarvan stonden in de Play Store. Het gaat om apps met verschillende functionaliteit, zoals apps voor fotobewerking, het opschonen van Android en voor horoscopen.

Alle apps boden een optie aan de advertenties uit te schakelen door in te loggen bij Facebook. Die optie toonde inderdaad een inlogscherm voor Facebook via WebView. Via een command & control-server werd tegelijk een script ingeladen om ingevoerde credentials te kapen en door te sluizen naar de server. Na het inloggen bij het sociale netwerk, stal de malware ook de cookie voor authenticatie.

Dr Web spreekt van een trojan in de software en noemt deze Android.PWS.Facebook.15. Er zijn verschillende varianten van deze malware in omloop. De verwijderde apps zijn PIP Photo, Processing Photo, Rubbish Cleaner, Inwell Fitness, Horoscope Daily, App Lock Keep, Lockit Master, Horoscope Pi en App Lock Manager. PIP Photo was de populairste app, met 5,8 miljoen downloads, en ook Processing Photo was met een half miljoen downloads populair, maar App Lock Manager had volgens de Play Store bijvoorbeeld slechts tien downloads.

Reacties (105)

DealExtreme2 5 juli 2021 13:34

Wat ik nog altijd niet begrijp is dat er in Android geen default toegang tot virtual storage is, net als alle andere 'permissions'. Geef de app altijd 'permissie' tot een virtuel sensor/storage, tenzij ik het aangeef, dan mag hij bij de 'bulk'.

Of een 'access log': welke app heeft welke foto geopend/bekeken. Als je nu een app installeert en hem toegang tot 'photos' geeft, kan hij je hele persoonlijke geschiedenis rustig uploaden naar de maker.

Net als met network access; het is mij volstrekt onduidelijk of een Android app mijn complete lokale netwerk mag sniffen, of enkel naar 'internet' adressen mag?

Als dit soort apps bestaan, dan moet bovenstaande toch ook gebeuren? Of ben ik misinformed?

Naafkap @DealExtreme2 • 5 juli 2021 13:41

Als deze punten voor jou belangrijk zijn, dan is iOS meer geschikt. Alle zaken die je noemt zijn daar te regelen/in te stellen: toegang tot lokaal netwerk wel of niet toestaan, zeer beperkte toegang voor apps tot systeembronnen, strenge restricties met betrekking tot toegang tot foto’s enzovoorts.

hiostu @Naafkap • 5 juli 2021 14:06

In iOS vind ik het best ongebruiksvriendelijk geregeld. Je moet gewoon aangeven welke foto's de app mag zien en welke niet. Dat is natuurlijk zeer omslachtig als het gaat om bv een app zoals Whatsapp. Waarom is het niet zo geregeld dat wanneer je een foto wil toevoegen er een standaard iOS/Android scherm wordt getoond, ik de foto selecteer en de app allen die foto kan benaderen. Zo was het vroeger ook in de Windows Phone API geregeld. De app krijgt dan gewoon een bytearray terug met de foto die door de gebruiker is geselecteerd, en verder kan de app helemaal niets benaderen van je foto's.

Deido @hiostu • 5 juli 2021 14:13

Hmm dat snap ik niet? Soms moet ik een enkele foto in een app sturen zoals een pasfoto, dan klik ik liever de pasfoto aan dan mijn gehele photo library. Wil ik meer delen, klik ik de destbetreffende foto’s aan.
Wil ik alles delen geef ik toegang tot alle photos. Ik zie niet per de hoe het efficiënter kan als je zelf de controle wil uitoefenen over wat je deelt?

hiostu @Deido • 5 juli 2021 14:34

Wanneer je op de iPhone aangeeft dat een app niet alle foto's mag benaderen en alleen maar een selectie mag zien. Dan moet je dus die selectie gaan beheren voor die app. Je moet dan de foto's selecteren die de app mag benaderen. Dus dan maak je een nieuwe foto. Wil je die via whatsapp versturen, dan moet je die dus eerst selecteren en dan kun je hem pas selecteren in Whatsapp. Dus voor elke keer een foto delen op Whatsapp moet je 2 acties doen i.p.v. 1. Dat vind ik niet gebruiksvriendelijk. Bij Windows Phone kon een app gewoon helemaal niet bij de foto's. Het selectiescherm voor het selecteren van de foto ging buiten de app om en was onderdeel van het OS. Wanneer je dus, OK klikte, kwam je terug in de app en kreeg de app via de API respons de foto als resultaat. Gevolg: geen extra handelingen voor de gebruiker, wel heel erg veilig.

Vexxon @hiostu • 5 juli 2021 14:57

Wat je ook kan doen is dan vanuit Photos de foto delen via WhatsApp, dat scheelt het beheren van die selectie foto's.
De Windows Phone variant vond ik inderdaad ook beter.

Jeroen_HD @Vexxon • 5 juli 2021 15:36

Dit, als je een foto wil doorsturen via whatsapp kan je dit gewoon via de Photos app doen.

pimsaint @Jeroen_HD • 5 juli 2021 17:26

Klink plausibel, maar heeft Whatsapp geen rechten nodig om ontvangen foto's op te kunnen slaan?

Jeroen_HD @pimsaint • 5 juli 2021 17:57

Whatsapp heeft mij geen rechten op in mijn library te gaan rondneuzen. Als ik echter via de Apple Photos app een foto deel naar Whatsapp komt ie wel gewoon in een chat terecht zonder hiervoor apart rechten te moeten geven.

pimsaint @Jeroen_HD • 6 juli 2021 14:00

Nee dat begreep ik al, maar wat gebeurt er met de foto's die je ontvangt?

the_stickie @hiostu • 5 juli 2021 15:58

Windows Phone RIP

Imo betamax verhaal ^2 superieur, maar onvolprezen

sui785 @the_stickie • 5 juli 2021 16:28

Onvolprezen is dan nog zacht uitgedrukt. Sommige mensen krijgen spontaan stuiptrekkingen bij het horen van Microsoft.

NielsFL @Deido • 5 juli 2021 14:40

Wanneer jij WhatsApp geen volledige toestemming hebt gegeven en je klikt op de + om een foto toe te voegen, dan krijg je in eerste instantie een lege galerij te zien. Zonder die pasfoto. Er is een extra stap waarbij je foto's uit je gewone galerij toewijst aan de galerij die WhatsApp kan gebruiken. Dat is inderdaad een beetje omslachtig.

Net als @hiostu zou ik liever gewoon altijd de volledige galerij zien, en dat WhatsApp dan toegang krijgt tot de daar door mij geselecteerde foto's. Ik denk dat Apple de extra stap heeft ingevoerd zodat je telkens opnieuw herinnert wordt welke foto's zichtbaar zijn voor WhatsApp. Privacy technisch een goed idee, wel minder gebruiksvriendelijk. De optie om het uit te zetten zou fijn zijn.

iAR @hiostu • 5 juli 2021 14:52

Ja, dit is heel vreemd. Je zou toch zeggen dat de photo picker hier een extra laag tussen bibliotheek en app is. Nu is het wel zo dat apps die foto's uploaden toegang moeten hebben tot de bibliotheek zonder interactie.
Ik begrijp de keuze van Apple wel maar ik had bijvoorbeeld veel liever gezien dat je kon instellen: toegang tot de laatste [1|3|5|10|100] foto's. Bijvoorbeeld als je elke keer toch een recente foto wilt uploaden naar Instagram.
Nu kies ik altijd maar voor volledige toegang, want anders moet je steeds instellen.

Cerberus_tm

@hiostu • 5 juli 2021 16:24

Zo is het ook in Android, als de applicatie van die api gebruik maakt. Alleen wanneer een applicatie toegang vraagt tot AL te foto's kun je niet meer selectief toegang geven.

HBONetflix @hiostu • 5 juli 2021 14:36

Ik mis Windows Phone nog altijd. Ik heb nog altijd één gruwelijke hekel aan Android

MN-Power @HBONetflix • 5 juli 2021 16:56

Inderdaad en een nog grotere hekel aan het alternatief. Het is wat mij betreft een keuze tussen gebeten worden door de hond of door de kat.

HBONetflix @MN-Power • 5 juli 2021 17:12

Ik had vroeger Symbian, toen Android. Uit nieuwsgierigheid Windows Phone, vanaf het begin na die Android. Vond het een zeer prettig OS in vergelijking met Android, dus ook tot mijn Windows Phone de laaste Lumia het begaf blijven gebruiken.
Helaas nu weer opgezadeld met Android, wel een Windows Phone uitstraling (tiles) erop, helaas niet hetzelfde

burgt

@HBONetflix • 5 juli 2021 19:21

Dat heb ik juist bij windows phone, ik snap echt niet wat mensen in dat gedrocht zagen, mist overzichtelijke en bijvoorbeeld meest chaotische settingsmenu, altijd ellende met BT (waar ik de telefoons mee moest testen op het werk). Ik was blij dat het niet meer ondersteund hoefde te worden omdat er toch bijna geen gebruikers voor waren.
Maar goed, ieder zijn smaak

Cerberus_tm

@Naafkap • 5 juli 2021 16:26

In IOS kun je echt niet instellen met welke adressen een applicatie contact mag maken. In Android kan dat wel met allerlei firewall-applicaties. Verder kon je met Xprivacy (oude versie) ook precies kiezen welke bestanden een applicatie mocht zien/gebruiken.

Naafkap @Cerberus_tm • 5 juli 2021 17:40

Klopt, niet met welke adressen, maar wel onderscheid tussen lokaal netwerk en internet. Bron: https://www.howtogeek.com...?height=200p&trim=2,2,2,2

[Reactie gewijzigd door Naafkap op 22 juli 2024 15:31]

TheVivaldi @Naafkap • 5 juli 2021 17:00

Of Ubuntu Touch, want daar kan je ook alle rechten streng instellen.

Oon

@DealExtreme2 • 5 juli 2021 13:44

Net als met network access; het is mij volstrekt onduidelijk of een Android app mijn complete lokale netwerk mag sniffen, of enkel naar 'internet' adressen mag?

Daar is geen verschil tussen, tenzij je per IP-adres toegang gaat vragen.

Je kan wel bijv. GlassWire gebruiken voor iets meer controle over welke apps internettoegang hebben en gebruiken, maar echt een ingebouwde optie is er niet voor.

DealExtreme2 @Oon • 5 juli 2021 14:08

Ik dacht dat er een verschil was tussen local ip's en internet ip's. 192.x.x.x. = local, 10.x.x.x = local, etc.

Vast nog iets complexer dan dit, maar LAN vs Internet is denk ik vrij failsafe gedefinieerd. En van iets dat bij versie 10+ is en in een wereld waar beveiliging zo hoog staat....

Ik ben overigens een Android user en lees net dat iOS meer voor zou zijn in dit opzicht

Oon

@DealExtreme2 • 5 juli 2021 14:11

Dat verschil is er voor ons wel, maar technisch gezien vanaf de telefoon is dat er niet. Een IP-adres is een IP-adres, een webserver kan net zo goed lokaal draaien als extern, en daar maakt je browser bijv. geen onderscheid tussen. In theorie kan er op gefilterd worden, maar ook afwijkende subnets zijn intern mogelijk, dus het is niet zo simpel.

Dus liever niet, want daar zouden altijd bijwerkingen bij zitten, en zelfs dan is een dergelijke IP filter niet waterdicht dus echt veel zou het ook niet uithalen

orvintax @Oon • 5 juli 2021 14:40

Een IP-adres is een IP-adres

Nou dat is niet waar hoor. Applicaties houden echt wel rekening met de verschillende classes die voor intern gebruik zijn toegewezen.

In theorie kan er op gefilterd worden, maar ook afwijkende subnets zijn intern mogelijk, dus het is niet zo simpel.

Dit is totaal onlogisch om te doen. Niet interne IPv4 adressen worden met de dag duurder dus dat is cost wise niet verstandig. Daarbij als het je lukt om de hele private range vol te gooien (wat meer dan 17 miljoen adressen zijn) ga je daarna echt geen public ip adressen gebruiken. Dan ga je namelijk naar IPv6...

moonlander @DealExtreme2 • 5 juli 2021 14:08

Local storage geeft toch altijd toegang tot je foto's directory?

DealExtreme2 @moonlander • 5 juli 2021 14:12

Ja, maar 'leuke camera app X' heeft opslag toegang nodig (logisch). Maar in plaats van dat hij enkel daar foto's kan plaatsen en de ZELF geplaatste kan openen, kan hij ALLES openen/doorsturen/uploaden.

En natuurlijk even kijken of bij mijn NAS het username/password niet admin/admin is

moonlander @DealExtreme2 • 5 juli 2021 14:23

Ja precies, ik snap ook niet dat dat niet als groot beveiligingsrisico aangemerkt wordt. Zelfs een app waarbij je een eigen achtergrond of profiel foto wilt instellen heeft complete toegang tot je local storage.. En je weet niet wat die app nog meer uitvoert.. Die kan dus ook fotos of data van apps verwijderen.

En hoe zit dat met app databases? Kunnen ze daar dan ook bij? Encrypted of niet...

Cyb @DealExtreme2 • 5 juli 2021 13:39

Dat had in dit geval niet veel uitgemaakt.
https://news.drweb.com/show/?i=14244&lng=en

to access all of the apps’ functions and, allegedly, to disable in-app ads, users were prompted to log into their Facebook accounts. The advertisements inside some of the apps were indeed present, and this maneuver was intended to further encourage Android device owners to perform the required actions.

DealExtreme2 @Cyb • 5 juli 2021 14:06

Klopt!

Ik vroeg het me af n.a.v. m'n laatste alinea: als dit soort tricks al gedaan worden, waarom zou het doorsturen van lokale foto's, sniffen van netwerken voor exploits + het opzetten van remote control (die instructies ophaalt vanaf een public domain ergens op aws) t.b.v. deze tasks, niet ook bestaan? Dat is zo simpel...

Althans, ik lees daar eigenlijk vrijwel nooit iets over, maar het lijkt me zo onwaarschijnlijk dat niet een hele bunch aan apps dit doet.

Soulaiman @DealExtreme2 • 5 juli 2021 16:52

Android is er in veel verschillende varianten, niet enkel wat Google levert op de Pixel reeks. Al of toch velen van jouw punten zitten ingebakken in OnePlus telefoons (OxygenOS). Daar is het zelfs zo dat een app automatisch z'n rechten verliest wanneer deze lange tijd niet is gebruikt en heb je effectief een log van welke app welke rechten gebruikt heeft en wanneer.

burgt

@Soulaiman • 5 juli 2021 19:27

Dat is tegenwoordig standaard in Android volgens mij, ik krijg op mijn Samsung ook regelmatig de melding dat er rechten ingetrokken zijn van apps die niet gebruikt zijn.

System @DealExtreme2 • 5 juli 2021 13:40

Omdat ze dan hun eigen graf delven?
Ze gebruiken het namelijk zelf.

henry906 @DealExtreme2 • 5 juli 2021 13:50

apps mogen gewoon zomaar verbinding maken met lokale ip adressen, neem bijvoorbeeld domotica of media center toepassingen, daarvan is het toch sneller als het direct via je lokale netwerk gaat. (om over veiligheid van het op het grote internet beschikbaar maken van die apparatuur nog maar niet te spreken)

WORPspeed @DealExtreme2 • 5 juli 2021 16:20

De storage geval is de reden dat ik voor minder populaire apps vaak de storage permission weer intrek nadat het de taak waarvoor het de permissie nodig had voltooid heeft.

Boor populaire apps ga ik ervan uit dat als het kwaadaardig bezig is dat er al iemand zou zijn die t opgevallen is

Niet waterdicht en ben t zeker met je eens dat deze zaken beter geregeld moeten worden.

HollowGamer @DealExtreme2 • 5 juli 2021 18:09

Maar dat helpt hier toch niet tegen? Dit is gewoon sniffing/key-logging/phishing en dat kan gewoon vanuit de app zelf.

Overigens heb je helemaal gelijk hoor, al is het nog niet zo super eenvoudig. Kijk maar eens naar de manifest/uses-feature, daarvan had ik er twee nodig (netwerk/screen-rotatie), waarvan de één weer te gesloten/open is of simpelweg niet werkt op elke Android API.

Ik kan ook wel begrijpen dat developers worstelen met de juiste permissies, zeker als deze compatible moeten zijn met oude toestellen. Overigens weet ik niet of dit deels wordt opgelost door de nieuwe APK changes die recent zijn aangekondigd, zo bekend ben ik helaas niet.

[Reactie gewijzigd door HollowGamer op 22 juli 2024 15:31]

goats @DealExtreme2 • 6 juli 2021 09:35

Android apps hebben bij default alleen private storage.
Pas als de app "gedeelde" toegang wil krijg je die vraag. Veel apps zeggen ook waarvoor ze dat willen en geven ook aan of je het echt nodig hebt.

Vanuit een management zicht is het ondoenelijk om van de gebruiker te eisen dat ze zich verdiepen in meerdere toegangslagen.

solozakdoekje @DealExtreme2 • 5 juli 2021 14:02

De vraag is of je persoonlijk foto’s en video’s op je mobiel moet plaatsen, de mens is een gemakzuchtig dier.
Persoonlijk maak ik geen foto’s en video meer met een mobiele telefoon, daar heb ik aparte apparaten voor.

Oon

@solozakdoekje • 5 juli 2021 14:13

Je vergeet daarmee dat de reden dat veel mensen een smartphone hebben het maken en delen van foto's en video's is. Dat jij een niet-standaard werkwijze hebt hierin wil niet meteen zeggen dat het overgrote meerendeel van de wereld het fout doet

solozakdoekje @Oon • 5 juli 2021 14:44

ik vind zelfs de smartphone het slechtste wat de mensheid ooit gemaakt heeft, we zijn afhankelijk gemaakt van iets wat totaal niet nodig is... 30 jaar geleden had je alleen mobiel voor bellen en sms, ik kon)nog steeds) toen ook wachten op krant en dan het nieuws lezen, sporten doe ik nog steeds analoog, zonder mobiel.
we zitten steeds vaker achter een scherm, whatsappen we ons dagelijks suf en kijken we ieder dag ons e-mail voor de 10 keer op een dag, instagram creëert een parallel/fictieve wereld waar veel mensen zich in laten dompelen, de algoritmes van internet beïnvloedden ons dagelijks leven voor veel mensen onbewust en houden ons daarmee zo veelmogelijk op ons scherm,facebook, verkoopt jou data en de mens is een product geworden en ja, ik heb zelf ook een mobiel.

waarom kan je niet een een digitale camera/video kopen? jou foto's uitprinten bij de kruitvat en in een plakboek plakken, niemand die jou foto's op het internet kan zien, ik vraag me hart op af of ik de enige ben die dit nog doet.

[Reactie gewijzigd door solozakdoekje op 22 juli 2024 15:31]

Oon

@solozakdoekje • 5 juli 2021 14:47

Tja, als je al die moeite gaat doen om je foto's alsnog bij de Kruidvat op een server (die waarschijnlijk gewoon bij Azure of AWS gehost is) te zetten dan ben je imo gewoon moeilijk aan het doen om moeilijk te doen.

Als je een Android telefoon hebt met een AOSP ROM en gewoon geen Facebook of Instagram installeert dan heb je gewoon een digitale camera waarmee je ook kan bellen en SMSen. De huidige flagships hebben vaak zelfs betere foto's dan een goedkope digitale camera.

solozakdoekje @Oon • 5 juli 2021 14:51

het hoeft helemaal niet opeen server te staan hoor, je kan zelf kiezen in de winkel.

[Reactie gewijzigd door solozakdoekje op 22 juli 2024 15:31]

Oon

@solozakdoekje • 5 juli 2021 14:54

Je mist het punt. Als je bij Kruidvat je foto's laat afdrukken upload je die naar een server, daar worden ze verwerkt (in de cloud), en dan geprint. Het apparaat dat in ieder filiaal staat handelt alleen het fysieke deel af, de rest gebeurt gecentraliseerd.

Dus je foto's komen gewoon op een server te staan. Kruidvat's privacyvoorwaarden zouden moeten zeggen voor hoe lang, maar je kan er vanuit gaan dat ze zeker enkele weken of maanden blijven staan, omdat ze ook voorwaarden hebben over welke foto's je mag printen via hun dienst en dus ook foto's moeten bewaren als bewijs wanneer je iets afdrukt dat tegen die voorwaarden is.

solozakdoekje @Oon • 5 juli 2021 14:56

je kan nog steeds in de winkel alleen een foto printen of dertig stuks als je dit wilt, waar je bij staat worden ze uitgeprint.zonder cloud direct van je geheugen kaart.

[Reactie gewijzigd door solozakdoekje op 22 juli 2024 15:31]

Oon

@solozakdoekje • 5 juli 2021 15:00

Als jij je dan veilig waant dan moet je dat zelf weten, ik heb er überhaupt geen problemen mee als mijn gegevens op een server komen te staan.
Maar tenzij je ouderwets rolletjes laat ontwikkelen door iemand die het als hobby doet is de kans zeer groot dat ze wel op een server komen staan. Zelfs de grote foto labs die ouderwets rolletjes ontwikkelen voor de 'echte liefhebber' van ouderwetse fotografie gebruiken vrijwel allemaal een server om foto's op te slaan en om de voorbewerking op te doen.

monojack @solozakdoekje • 5 juli 2021 19:08

Misschien moet je je toch eens wat meer bezighouden met het gehele online gebeuren dan zou je begrijpen wat men je probeert duidelijk te maken want er wordt echt niet magisch van je geheugenkaart foto's uit het niets getoverd. De printer is natuurlijk aangesloten op een netwerk, er wordt software gebruikt om de data van je geheugenkaart te lezen, enz.

solozakdoekje @monojack • 5 juli 2021 19:29

Ik heb thuis een printer met cardreader, die kost vijftig euro, die kan ik offline gebruiken en printen net zoals dat kan bij de kruitvat.

monojack @solozakdoekje • 5 juli 2021 19:30

die cardreader is een printer?

solozakdoekje @monojack • 6 juli 2021 14:54

waar het op neer komt is, je hebt geen netwerk kabel of internet nodig om een foto uit te kunnen printen.

monojack @solozakdoekje • 7 juli 2021 08:25

Dat is niet nodig maar dat wil niet zeggen dat het niet zo gebeurt bij Kruidvat

solozakdoekje @monojack • 8 juli 2021 13:36

Hoi, ik ben speciaal voor jou naar de kruitvat geweest om het te vragen, als je het via een geheuge drager doet via een memorystick of smartphone dan worden die foto’s nergens opgeslagen als je ze direct laat printen.

Alleen als je ze echt gaat bestellen, via de website dan worden ze ergens op een server of cloud opgeslagen.

Daarnaast heb ik de privacy voorwaarden gelezen en je kan all jou persoonsgegevens verwijder op verzoek.

monojack @solozakdoekje • 8 juli 2021 17:05

Heb jij dat speciaal gedaan voor mij? Maar hoe weet jij dat ze je de waarheid vertelt hebben? Zo iemand bij Kruidvat is toch meestal geen IT expert?

the_stickie @solozakdoekje • 5 juli 2021 16:19

Je onderschat smartphones. Voor mij is die op zijn minst een mobiele vervanger voor functies als

telefoon
fototoestel en videocamera
scanner met ocr
gps, kompas en kaart
tekstverwerker
fax en brievenpost
encyclopedie
toegangs- en identiteitsbewijs
betaalmiddel
spelcomputer
audioplayer
krant, weekblad en magazine
agenda
zaklamp
wekker en stopwatch
geotracker
pager
bankautomaat voor verrichtingen
toeristische gids en vertaler
...

Ik volg je wel dat alle schermen niet altijd goed zijn voor onze aandacht, fysiek , sociale interacties,...
Maar ik verkies toch een smartphone boven een rugzak met bovenstaande, en neem er dan maar bij dat er betere fototoestellen, wekkers en zaklampen zijn. Zolang die smartphone goed genoeg is, hoef ik al de rest niet meer. En het weerhoudt me niet om een fysiek album te maken van foto’s. Maar die kost hoort nu enkel bij heel speciale gelegenheden, en niet meer bij elk gezinsuitje.

Stroper @solozakdoekje • 5 juli 2021 16:55

Ik vind de auto het slechtste wat de mensheid ooit gemaakt heeft.
100 jaar geleden stapten of fietsten de mensen gewoon als ze ergens naartoe wilden, en hierdoor hadden ze tenminste een goeie conditie en waren ze veel socialer want ze konden een praatje maken als ze iemand tegenkwamen.
Tegenwoordig neemt iedereen direct de auto als ze 2 km verder moeten zijn, met als gevolg dat iedereen overgewicht heeft en daarenboven is het nog eens slecht voor het milieu.

En nu serieus, elke nieuwe uitvinding brengt nadelen met zich mee. Je moet leren er op een verantwoorde manier mee omgaan. En ik besef dat dit niet voor iedereen gemakkelijk is(zeker voor minderjarigen), maar zeggen dat een smartphone het slechtste is wat de mensheid heeft voortgebracht, lijkt mij nogal kort door de bocht.

solozakdoekje @Stroper • 5 juli 2021 17:27

Waarom moeten we mango eten wat geïmporteerd wordt uit zuid Amerika, als we die zelfde vitamine elders uit een vrucht uit Europa kunnen halen, waarom staan er honderd verschillende potten mayonaise in het schap van de supermarkt, extra keus, maar extra vrachtwagens die moeten rijden, dus extra co2 uitstoot.

de auto is ook een slechte uitvinding, het is belachelijk als je voor twee kilometer geen fiets pakt, het zou juist goed zijn als een ieder mens begint met vijftien kilometer naar het werk te rijden op de fiets, anders lekker daar gaan wonen.een krediet systeem wat laat zien hoe bezig je bent, is eigenlijk helemaal geen slecht systeem van de chinezen.

[Reactie gewijzigd door solozakdoekje op 22 juli 2024 15:31]

Metalfreak @solozakdoekje • 6 juli 2021 10:57

Waarom doen we eigenlijk dingen die leuk zijn als we ook gewoon thuis kunnen zitten te wachten tot we dood gaan? Dan verspil je ook geen onnodige energie, belast je het milieu ook niet en ben je heel efficiënt bezig.

Dat is eigenlijk een beetje wat je nu probeert te zeggen.

n4m3l355 @DealExtreme2 • 5 juli 2021 14:27

Net zoals in Windows komen we nu in een tijdperk dat mobiele os'en mature worden maar de gebruikers nog steeds niet. De ontwikkelaars moeten of ervan uitgaan dat de gebruiker alles begrijpt (zelden het geval) of helemaal niets (eerder de realiteit). Dus er is geen goede oplossing buiten direct in de store dit soort malifide apps tegen te houden.

OB1 5 juli 2021 13:36

Is het injecteren van een script in een Webview niet iets wat relatief eenvoudig gedetecteerd zou moeten kunnen worden, aan de hand van bijvoorbeeld statische analyse van de code? Het zijn namelijk componenten welke standaard in Android aanwezig zijn.

Peter

@OB1 • 5 juli 2021 13:45

Het feit dat iemand de APIs gebruikt om code te injecteren is inderdaad gemakkelijk te zien via statische analyse, echter geeft dat geen inzicht in wat de code doet, en nog minder in wat het doel van de code is. De specifieke API is de meest populaire functie in de gehele WebView API (mijn team is verantwoordelijk voor WebView), en wordt gebruikt voor het injecteren van simpele gegevens (gebruikersnaam, telefoonnummer) tot volledige bi-directionele communicatie APIs.

Apple heeft een oplossing in gedachten voor hun WKWebView implementatie, wat injectie beperkt tot een vastgestelde lijst domeinnamen. Dit mechanisme is echter (nog) niet verplicht.

OB1 @Peter • 5 juli 2021 13:55

Goed punt. Een whitelist die vooraf geverifieerd zou misbruik moeilijker kunnen maken. Een malifide developer zou echter alsnog nare scripts op het eigen domein kunnen hosten, waardoor het beperkte nut zou hebben, toch?

Een alternatief zou wellicht het embedden van de scripts zijn in het buildproces, zodat ze in een reviewproces onder de loep genomen kunnen worden. Zou dat een beter en haalbaar alternatief zijn?

[Reactie gewijzigd door OB1 op 22 juli 2024 15:31]

Peter

@OB1 • 5 juli 2021 15:17

Zeker, maar allow-lists werken niet in alle omstandigheden. Veel van de super apps die prominent in Azië en Zuid Amerika zijn gebruiken WebView als basis, en injecteren een hele serie APIs om diepe integratie mogelijk te maken. Naar je tweede idee: in theorie, maar de dynamische interacties mogelijk met JavaScript zijn vaak een heel stuk moeilijker te analyseren dan Java/Kotlin, zelfs met reflectie inachtneming. Dit is een onderwerp waar we actief over na aan het denken zijn

henry906 @OB1 • 5 juli 2021 13:47

Injecteren van code in een webview in een app gebeurt vaker ook om hele niet malafide doeleinden.

Zo werk ik aan een app waarbij er een lokaal html+javascript bestand geopend wordt en deze vanuit de app code javascript toegevoegd krijgt om zich te kunnen authenticeren bij netwerk requests.

Als communiceren met een webview niet zou mogen zouden malafide app developers bijvoorbeeld het inlogscherm van facebook native na kunnen maken in de app en op die manier de gegevens stelen. Ook dat zou niet zomaar te blokkeren zijn.

OB1 @henry906 • 5 juli 2021 14:00

Ik heb zoiets inderdaad ooit ingebouwd in een schoolopdracht, nu ik er over nadenk - alleen was dat een desktopapplicatie met een webview. Het zou de mogelijkheden van de webviews anders ernstig beperken.

Phishing is dan wellicht een nog verraderlijker alternatief....

HollowGamer @henry906 • 5 juli 2021 18:16

Ik ben wel benieuwd waarom je precies JS-code teruggeeft bij netwerk (API?) requests. Bedoel je niet JSON?

goats @HollowGamer • 6 juli 2021 09:30

Wat ik zie is dat er veelal javascript wordt geleverd en die wordt dan uitgevoerd. Geen JSON of wat dan ook. Probeer maar eens de advertenties te volgen van een willekeurige nieuwsblad.

Erger nog: om een banner te meten werd mij verzocht om een pixel neer te zetten zodat de effectiviteit van de banner gecontroleerd kon worden.
Die pixel was een pixel.js die een stormvloed van allerlei trackers installeerde door alweer: javascript van onbekende bronnen te downloaden en te runnen. 1 "pixel" resulteerde in tenminste 200 requests, tenminste 10 trackers en 20 cookies op verschillende domeinen.
Dan ben je dus een legitieme goedwillende klant van een goedwillende legitiem advertentie bureau die dit voor het eerst hoorde.
Het heeft een paar weken geduurd voordat ik een echte pixel kreeg waarbij tracking dus voor ons was en niet voor 200 anderen.

Je kan het wel eens op duitse sites zien als je op een legitieme webshop op het cookiebeleid klikt die gegenereerd is door een scanner. Kom je de meest absurde sites tegen. Alleen maar omdat de eigenaar van de webshop van achteren genomen wordt door de bannerboeren.

goats @OB1 • 6 juli 2021 09:22

Injecteren van een script is 100% wat advertenties doen.
Stap 1 van 1 van de bekende advertentie ketens:
Download en execute een javascript van een willekeurige server die door 1 van de vele redirects wordt geserveerd.

himlims_ 5 juli 2021 13:33

heb zo'n vermoeden dat die 'dubieuze' apps welgeteld; 0x geïnstalleerd staan bij een tweakers

bbob

Facebook
Google

@himlims_ • 5 juli 2021 13:39

5,8 miljoen bij 1 app daar zal best een tweaker tussen kunnen zitten.

TWeaKLeGeND @bbob • 5 juli 2021 13:58

5,8 miljoen is net meer dan een promille van de mobiele wereldbevolking, die ene verdwaalde install door een tweaker is dan juist de uitzondering op de regel en de kans dat het letterlijk 0 installs betreft 'onder ons' is zeker mogelijk.

[Reactie gewijzigd door TWeaKLeGeND op 22 juli 2024 15:31]

bbob

Facebook
Google

@TWeaKLeGeND • 5 juli 2021 14:20

Zo kun je het zien maar met 5,8 miljoen download voor een app heb je toch al aardig wat mensen te pakken. Hoeveel % heeft een facebook account. Groot deel daarvan kan nu wachtwoord kwijt zijn. Dat zijn miljoenen account.

Maar goed je kan dit naar beneden praten qua hoeveelheid en dat doe je ook. In diezelfde lijn wereldwijd minder corona doden dan 5,8 miljoen. Als je een vergelijking wil maken in jou lijn, dus die ene verdwaalde dode onder de tweakers is dan ook de uitzondering op de regel.

TWeaKLeGeND @bbob • 5 juli 2021 15:14

Want tweakers zijn experts in immuniteitstechnologie of komen nooit de deur uit? Snap je zelf nog wel wat je zegt? Maar, ja inderdaad, er zijn relatief vrij weinig coronadoden onder tweakers. Tweakers zijn gemiddeld tenslotte jonger en 'gezonder' dan de gemiddelde coronadode. Weet je wat ze ook zijn? Een stuk technisch onderlegder waardoor de kans dat ze dit soort poep installeren een veelvoud lager is dan bij ome henk of tante truus die hun vakantiekiekje willen bewerken en delen.

Hoeveel tweakers denk je dat er 'ram geheugen' downloaden? Als 10% van de bevolking elk jaar een gaatje heeft denk je dan ook dat 10% van alle tandartsen jaarlijks een gaatje heeft? Als de kans is om als gemiddeld mens op dit exacte moment zwanger te zijn 3% is hoeveel mannen denk je dat er dan zwanger zijn op 3-4 miljard mannen? Hoeveel mannen zullen hun menstruatiecyclus bijhouden in een app? Douyin is een van de meeste gedownloade apps wereldwijd met honderden miljoenen installs, hoeveel belgen denk je dat douyin op hun telefoons hebben?

[Reactie gewijzigd door TWeaKLeGeND op 22 juli 2024 15:31]

bbob

Facebook
Google

@TWeaKLeGeND • 5 juli 2021 15:50

Je bent, of beter gezegd denkt goed op de hoogte te zijn van de lezers hier. Als je het nog niet door hebt, Tweakers richt zich na overname al heel wat jaren op een hele brede doelgoep.

Maar waar het om gaat is dat je een cijfer als 5,8 miljoen afdoet als marginaal, onbelangrijk en ach maakt niet uit. Dat zijn dus miljoenen facebook logins die gesloten zijn. Maar ach marginaal niet druk om maken.

TWeaKLeGeND @bbob • 5 juli 2021 16:01

Nee dat doe ik niet dat maak jij er van. De stelling was dat tweakers hier waarschijnlijk niet mee in zee zijn gegaan want die installeren doorgaans niet dit soort dubieuze apps. Jouw argument was dat het 5,8 miljoen installs is dus dan zullen er ook tweakers tussen zitten, maar zo werkt dat niet. Nogmaals, hoeveel mannen denk je dat er zwanger zijn? Het zijn heel weinig installs globaal en tweakers zijn niet de doelgroep van dit soort apps dus er zullen weinig tweakers slachtoffer zijn. Simpel. Waar jij die onzin vandaan haalt over marginaal of maakt niet uit of onbelangrijk etc heb ik geen idee van want daar ging het totaal niet over. Overigens is een bezoeker van deze site voor mij niet een tweaker. Een tweaker is een tweaker maar ook onder het brede publiek hier op deze site specifiek zijn er relatief weinig die zich bezighouden met dit soort dubieuze apps.

[Reactie gewijzigd door TWeaKLeGeND op 22 juli 2024 15:31]

bbob

Facebook
Google

@TWeaKLeGeND • 6 juli 2021 09:28

Wederom omschrijf eerst maar eens tweakers, alle lezers/bezoekers van tweakers.net ?
Dat zijn er veel, veel meer dan 10 jaar geleden toen de doelgroep nog heel anders was. Dus zonder dat je daar een definitie van hebt wat jij een tweaker noemt kom je nergens.

goats @TWeaKLeGeND • 6 juli 2021 09:40

"Tweakers zijn gemiddeld tenslotte jonger en 'gezonder' dan de gemiddelde coronadode"

Sorry hoor, maar dat zijn behoorlijke oogkleppen aannames.

Maar voor de rest ben ik het met je eens, met dit verschil: er zijn altijd 1 of 2 "tweakers" die het predicaat tweaker niet verdienen maar wel hier ronddwalen. Maar dan zit je met de kans dat zo'n "tweaker" ook nog net zo'n app moet zien om het te installeren.

De kans is dus laag, maar zeker niet onmogelijk ;-).

System @himlims_ • 5 juli 2021 13:39

Ik zou dat niet durven stellen.

WhatsappHack

Facebook
Google
Beveiliging en antivirus

@himlims_ • 5 juli 2021 15:50

Of juist meer. Veel gebruikers zijn vaak al blij met reguliere camera en foto apps. Het zijn (zelfbenoemde) “PowerUsers” die veelal allerlei shit installeren

moonlander @himlims_ • 5 juli 2021 14:09

Nou, je zult denk ik versteld staan hoeveel tweakers dubieuze apps installeren

Fireshade 5 juli 2021 15:13

Wat ik triest vind van dit soort situaties, is dat er na verwijdering niets meer gedaan wordt met deze overtreders. Ze worden niet aangegeven, niet vervolgd of wat dan ook.
Soort van: gebruikers hebben pech gehad, en weer doorgaan.
Het is begrijpelijk dat Google (en ook Apple) het liefst geen ruchtbaarheid geven aan het feit dat dit soort malafide apps op hun Store aangeboden wordt, maar ik zou ook zeggen neem je verantwoordelijkheid en geef op zijn minst deze 'datadieven' aan.

sui785 @Fireshade • 5 juli 2021 16:37

Ik hoop dat dit wel wordt gedaan! En dat ze er niet verder in de media over communiceren... Anders heb je zeker gelijk en blijft dit een probleem.

Dark Angel 58 @Fireshade • 5 juli 2021 17:23

Wat ik triest vind van dit soort situaties, is dat er na verwijdering niets meer gedaan wordt met deze overtreders. Ze worden niet aangegeven, niet vervolgd of wat dan ook.
Soort van: gebruikers hebben pech gehad, en weer doorgaan.
Het is begrijpelijk dat Google (en ook Apple) het liefst geen ruchtbaarheid geven aan het feit dat dit soort malafide apps op hun Store aangeboden wordt, maar ik zou ook zeggen neem je verantwoordelijkheid en geef op zijn minst deze 'datadieven' aan.

Precies, ik zou ze opsporen en ze vernietigen... anders blijven ze doorgaan met malafide apps ontwikkelen.
Gewoon hard regime gebruiken, zonder genade... Als de criminelen het vaker in het nieuws komen dat ze finaal uitgeschakeld zijn dan vinden de andere criminelen het niet echt moeite waard om malafide apps te blijven ontwikkelen!!!

m.z 5 juli 2021 13:43

Wat off-topic, maar

Het zou leuker nieuws zijn geweest:

Google verwijderd apps die met of zonder Facebook account je gegevens deelt met Facebook en of afluisterd via microphone. Achja, dan zal alle google (Adsense) apps verwijderd moeten worden.

Klinkt paranoïde, maar ben vaker achter gekomen dat Facebook, maar ook Google beide precies reclames laten zien wat alleen mondelinge besproken is.

Paar jaar geleden was ik de dorpsgek als ik dit aan andere vertelde, maar nu zien meerdere mensen dit afluistergedrag.

klonic @m.z • 5 juli 2021 14:18

Heb je op Android toestellen niet een functie dat je ziet wanneer de camera aanstaat, wanneer de microfoon aanstaat? Bij IOS zie je een groen bolletje als de camera (+ al dan niet microfoon) aanstaat en een groen bolletje als de microfoon alleen aanstaat

pizzafried @klonic • 5 juli 2021 15:17

als google je afluistert dan heeft dat weinig zin. Als google meekijkt of afluistert zullen die functies zeggen dat het uitstaat. Tenzij het een hardware lampje is, waar android geen toegang tot heeft.

klonic @pizzafried • 5 juli 2021 15:23

Google luistert mij mogelijk af via mijn iPhone. Ik gok dat ze alleen toegang tot de microfoon kunnen krijgen door deze aan te roepen via een API en dat die API op zijn beurt een bolletje forced op het scherm. Zelfs als die app het hele scherm zwart maakt, dan nog kan je in je microfooninstellingen zien welke apps je microfoon hebben gebruikt. Volgens kan je je in iOS hier niet uit programmeren. Op Mac wel vermoedt ik (waar ze dit systeem inmiddels ook gebruiken).

pizzafried @klonic • 6 juli 2021 09:04

ja, maar op android is dat zinloos om te geloven, want android is van Google.Als je bang bent dat Office365 je afluistert moet je niet aan Windows gaan vragen of dat zo is, want dat is van hetzelfde bedrijf.

Wouterie @m.z • 5 juli 2021 13:48

Je bent niet de enige die het opvalt. We hebben het hier thuis wel eens voor de grap getest... gewoon praten over dingen waar je het normaal niet over hebt. Bijvoorbeeld de aanschaf van een bepaald product. En zowaar verschenen de advertenties op Facebook. Maar misschien is het net als met een rode Fiat Panda: als je er één koopt dan zie je ze overal rijden.

Deido @Wouterie • 5 juli 2021 14:18

Ik geloof eerlijk gezegd dat we niet actief afgeluisterd worden wanneer we het desbetreffende apparaat niet gebruiken.

Ik denk ook dat mensen die denken dat ze afgeluisterd worden onderschatten hoeveel ze al weten van een persoon door alles op het internet, de gigantische database waarmee associates gemaakt worden om correct getarget te worden en de geavanceerde machinelearning algoritmes. Het is al gebleken dat op deze manier je getarget wordt voor goederen voordat je bedacht dat je het nodig had.

TWeaKLeGeND @m.z • 5 juli 2021 14:08

Mensen zien snel verbanden daar waar ze niet zijn omdat ze niet weten hoe dingen werken en omdat zien wat je wilt zien makkelijker is.

Bij een reële waarschuwing met uitleg en achtergrond informatie ben je nooit de dorpsgek

[Reactie gewijzigd door TWeaKLeGeND op 22 juli 2024 15:31]

WhatsappHack

Facebook
Google
Beveiliging en antivirus

@m.z • 5 juli 2021 15:55

Confirmation bias. Dit is al zo vaak enorm uitgebreid onderzocht en elke keer weer kan er geen enkel bewijs voor gevonden worden, maar veelal wel andere factoren die met online gedrag te maken hebben en permissies die de app heeft. Zo krijg ik *nooit* reclame voor iets dat uitsluitend mondeling besproken is.

berchtold 5 juli 2021 13:40

bewijst toch wel weer hoe weinig aandacht google besteed aan controle van apps op de playstore.

Peter

@berchtold • 5 juli 2021 13:54

Neem een applicatie die vandaag een eigen inlogpagina laat zien, gehost op hun eigen server, en deze morgen aanpast naar een pagina die zich voordoet als Tweakers.net. Het veranderen van een dergelijke pagina, volledig in eigen beheer, heeft niets te maken met updates die via de Play Store gereviewed moeten worden. Theoretisch gesproken staat er niets in de weg voor Facebook om hun inlogpagina een MySpace logo te geven—dit soort handhaving moet eigenlijk wel reactief, tenzij het OS dusdanig strenge regels gaat handhaven voor inlogsystemen dat het innovatie van derden in de weg gaat staan.

Wouterie @berchtold • 5 juli 2021 13:46

Dat dus! Het is voornamelijk een reactief gebeuren (met her en der een steekproef) maar als niemand iets roept dan zal het wel goed zijn.

berchtold @Wouterie • 5 juli 2021 13:53

Ze scannen wel alle apps die binnenkomen met google bouncer. Maar die software kijkt wat er gebeurd binnen een bepaalde tijd dat de app draait. Die malware makers zorgen ervoor dat hun mallicious code gewoon pas na 30min ofzo wordt ingeladen. Die scanner checkt hier niet op.

Een vriend van me werkt bij een bedrijf dat android malware analyse doet. Maar zelfs als zij bij google aangeven dat iets malware is (en met name nep bank apps), kost het een hoop tijd en moeite en misschien verwijderen ze die app dan wel.

Genoeg redens voor mij om weg te blijven van Android

Namixam @berchtold • 5 juli 2021 13:56

Jup, want heel Android is ruk omdat een paar apps door de veiligheidscheck van Google komen.
Doe Android een plezier, en blijf er zelf lekker vandaan.

berchtold @Namixam • 5 juli 2021 13:59

Wist je ook dat elke app accessibility rechten zomaar kan vragen? Dat houdt in dat een app systemwide useracties kan doen. Zijn ook zat apps geweest die dit misbruiken, en bij google is dat probleem als "feature" bestempeld. Klinkt als een goed ecosysteem XD

goats @berchtold • 6 juli 2021 09:20

Als datgene wat jij zegt zoals jij het zegt klopte, dan waren er nu 100 programmas die die features in de handen van de gebruiker legt.

Wolfos @Wouterie • 5 juli 2021 13:55

Terwijl ze er tegenwoordig wel een week over doen om een app te keuren. Apple doet het meestal dezelfde werkdag nog. Word meestal wel één keer afgekeurd, maar dan ben je alsnog binnen twee dagen online.

berchtold @Wolfos • 5 juli 2021 14:02

Volgens mij is dat juist andersom. Bij apple moeten apps heel strict aan de beschrijving voldoen. Als er iets afwijkt mag het keuringsproces helemaal opnieuw beginnen. Bij android is het wel altijd dezelfde werkdag online.

Wolfos @berchtold • 5 juli 2021 14:09

Dat was vroeger zo maar Google is strenger geworden. Het duurde de laatste twee keer bij mij beide keren een week.

[Reactie gewijzigd door Wolfos op 22 juli 2024 15:31]

berchtold @Wolfos • 5 juli 2021 14:16

In dat geval moeten we nog zien of de correlatie tussen langer duren en veiligheid wel correct is bij google. Zolang er nog steeds massa's aan malware wordt gevonden is dat namelijk niet zo.

warrior7 @berchtold • 5 juli 2021 14:11

Klopt, de controle is een stuk minder dan de belangrijkste concurrent, maar ook de controle kan dit over het hoofd zien. De concurrent heeft dit toch wat beter dichtgetimmerd met permissies en sandboxen.

Raymon1988 5 juli 2021 18:30

Weet niet of het hiermee te maken heeft, maar Facebook lijkt zelf ook iets aangepast te hebben in hun systeem.
Gebruik(te) de app Friendly for Facebook en dat mag niet meer vanwege
'For your account security, logging into Facebook from an embedded browser is disabled.'.

Xerpan 6 juli 2021 13:24

Oplossing: gebruik geen Facebook.
Ik mis het al jaren niet.

Op dit item kan niet meer gereageerd worden.

Google verwijdert negen apps uit Play Store die inloggegevens Facebook stalen

Lees meer

Reacties (105)

Sorteer op:

Weergave: