Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties

Custom rom-makers kunnen binnenkort aan de slag met TaintDroid, een applicatie die in de gaten houdt welke info andere apps vanaf een Android-toestel versturen naar anonieme servers. TaintDroid werkt alleen in custom roms.

Omdat TaintDroid andere applicaties in de gaten houdt, zit het diep in Android ingebakken. Vandaar dat het niet als stand-alone applicatie geïnstalleerd kan worden, maar alleen kan draaien in custom roms, zeggen de onderzoekers die TaintDroid hebben ontwikkeld. De onderzoekers zijn werkzaam aan de Amerikaanse universiteiten Duke University en Pennsylvania State University. Ze maken de broncode openbaar, waarna custom roms met TaintDroid gemaakt kunnen worden voor diverse toestellen.

De applicatie van de onderzoekers houdt bij wanneer applicaties informatie naar servers versturen en ook de soort informatie en de bestemming kunnen achterhaald worden. Veel applicaties zenden onder meer locatiegegevens, imei-nummers en simkaartnummers door om gepersonaliseerde en gelokaliseerde advertenties te tonen. Bij de installatie van een Android-applicatie moet een gebruiker expliciet toestemming geven aan de app om deze informatie op te vragen.

Bij een kleinschalig onderzoek bleek dat 15 van de 30 onderzochte Android-applicaties zonder waarschuwing informatie sturen naar eigen servers. Geregeld wijzen onderzoekers en experts erop dat op smartphoneplatforms als Android en iOS van Apple applicaties meer gegevens versturen dan waar veel gebruikers zich van bewust zijn.

Het is onduidelijk of en wanneer er custom roms met TaintDroid verschijnen . Ook is het vooralsnog niet mogelijk het versturen van privé-gegevens te voorkomen bij het gebruik van applicaties. Dat zou ook in veel gevallen onwenselijk zijn, omdat applicatiemakers vaak geld verdienen met de kliks op gerichte advertenties in gratis applicaties.

Moderatie-faq Wijzig weergave

Reacties (30)

Zouden de devs dit wel willen intregreren?

Het voegt niets toe aan de Custom Rom maar helpt eigenlijk alleen maar bij een het onderzoek.

Als het programma nou die connecties kon tegenhouden... (wat natuurlijk zou betekenen dat het programma het niet doet) dan zou het nog enige nut hebben

Het zal alleen maar een stroom/geheugen vreter zijn voor de gebruiker en meer niet dus waarom zou de gebruiker hem er dan in willen?
Simpel: veiligheid.
dit programma bied geen veiligheid het want auditen is geen beveiliging het is hooguit leren waar de beveilging de mist in is gegaan, en is daarom eigenlijk alleen maar nuttig voor mensen die zich bezig houden met bijv het bouwen van firewalls om dit soort data wel fo niet door te sturen - op basis van wat de gebruiker uiteindelijk wil.
Ik zie het wel als veiligheid. Het is duidelijk dat dit programma inzicht geeft in wat jouw apps doen. Als er een app data doorstuurt naar een website wat ik niet wel, ben ik wel te laat, maar ik kan het wel stoppen.
Dat word vast mogelijk in toekomstige versies van deze app
En hoe weet je dat de custom rom bouwer er niet iets in heeft gebakken dat niet gedetecteerd wordt. De meerwaarde van zoiets zit in deze bij een partij met meer integriteit. Een custom rom bouwer heeft die reputatie nog niet.
"En hoe weet je dat de custom rom bouwer er niet iets in heeft gebakken dat niet gedetecteerd wordt. De meerwaarde van zoiets zit in deze bij een partij met meer integriteit. Een custom rom bouwer heeft die reputatie nog niet."

Ikzelf vertrouw een persoon die een custom rom bouwd om meer functionaliteit aan een apparaat te geven meer dan een bedrijf/firma/bandje/website/service (lees: commerciele instelling) die een app maakt voor een telefoon.

De rom bouwer is een (hobbyistische) ervaren programmeur met verstand... de applicatie makers willen alleen geld verdienen/advertisen/naamsbekendheid.

Dus dat argument van jou houdt in praktijk minder waarde over dan je zou denken.

Ik zou een XDA developer's woord boven dat van een willekeurig app-maker plaatsen, en ik denk dat ik niet de enige zou zijn.
Maar je moet je ook afvragen of een custom rom bouwer geen commerciële belangen heeft. Jij neemt aan dat een custom rom bouwer een onafhankelijk persoon is (ik overigens ook), maar dat weet je helemaal niet zo zeker.
Vergeet niet dat veel van de custom roms helemaal open source zijn. Cyanogen, een van de meest populaire roms, heeft zijn volledige kitchen online staan. Bij een al gecompilede weet je het inderdaad nog niet. Maar je kan ook zijn kitchen downloaden, alle source doorlezen en dan zelf compilen. Zit je 100% safe!
Dat is een mooie vooruitgang, ookal gebruik ik op het moment geen custom roms. Het is wel ideaal aangezien het al een aantal keer in het nieuws is geweest dat er van die Wallpaper applicaties gegevens verstuurde. Als het daadwerkelijk uit is zal ik het wss ook gaan gebruiken. Voelt toch een stuk veiliger aan.
Maar achteraf bleek dat die wallpaper apps helemaal geen kwade bedoelingen hadden. (Alleen is dat niet meer in het nieuws geweest, althans niet even groot)
bron
Dat google al onze resultaten opslaan etc hebben ze ook geen kwade bedoelingen mee. Maar toch is het niet fijn.
Geen kwade bedoelingen volgens Google.

Google told him (the developper of the wallpaper apps), “Our investigation has concluded that there is no obvious malicious code in your apps, though the implementation accesses data that it doesn’t need to."

Volgens BP valt de schade in de golf van Mexico best mee veronderstel ik?

Dus als je privacy gevoelige informatie will gaan oogsten vanaf de "smartphones" van argeloze gebruikers: dat kan, maar zorg er dan wel voor dat de functionaliteit van je app of je bedrijfsfilosofie in een reden voorziet om die info door te sturen.

Kwade bedoelingen starten kan na de harvest nog altijd, hoeft niet per se in de code van je wallpaper app :| .
Jij doet het lijken alsof die app toch wel een klein beetje slecht was, het verzond enkel de schermresolutie..
Ik denk dat je dan nog verbaasd zal zijn over hoeveel informatie er zomaar verstuurd wordt naar internet.... over de inhoud van die gegevens kan je altijd twisten uiteraard of daar privacy inbreuk op inhakt
precies; je download een barcode scanner
deze applicatie vereist toegang tot:
persoonlijke gegevens -
positie bepaling -
en de camera ....

wtf? waarom wil je mijn gps locatie en contact gegevens???
Onder 'persoonlijke gegevens' wordt de contact list bedoeld. Erg handig om zojuist gescande businesscard toe te kunnen voegen

Bij 'positie bepaling' kan ik me voorstellen dat er locatie gebaseerde informatie mogelijk is. Het is een beetje zinloos om dollar prijzen te tonen van een product dat je in de Mediamarkt om de hoek hebt gescanned.

De camera had je zelf ook wel bedacht ;).
met behulp van contactgegevens kan je een QR code genereren en die door een vriend laten inscannen ipv het nummer e.d. opnoemen.
Money money money!
Euro/dollar per record.
Zodat je gelijk automatisch een bestelling kan plaatsen bij de dichtsbijzijnde winkel ;-)
Nou zal ik wel weer heel pessimistisch zijn, maar zal het openbaar maken van de broncode er niet ook voor zorgen dat TaintDroid heel gemakkelijk te omzeilen is?

(Ik snap dat het natuurlijk wel weer nodig is om te integreren in custom rom's, maar toch...)
je kunt prima exact uit de doeken doen hoe de beveiliging van iets werkt zonder dat het gevaar op levert voor het beveiligde, immers 'echte' veiligheid zit hem in het veilig zijn niet in het 'dat niemand weet waarom het onveilig is'
Eindelijk wordt een belangrijk probleem van Android icm het Google business model erkend en gecorrigeerd.

Het zou leuk zijn mocht je ROM niveau gewoon bogus info zou kunnen laten versturen in plaats van de echte locatiegegevens, imei-nummers en simkaartnummers, contactlist.

M.a.w. zodanig dat de applicaties in kwestie de blokkering nooit merken.
Ook is het vooralsnog niet mogelijk het versturen van privé-gegevens te voorkomen bij het gebruik van applicaties. Dat zou ook in veel gevallen onwenselijk zijn, omdat applicatiemakers vaak geld verdienen met de kliks op gerichte advertenties in gratis applicaties.

Vetsmelter heeft natuurlijk gewoon groot gelijk; dat "onwenselijk" uit bovenstaande quote is uiteraard vanuit het standpunt van de aanbieder/distributeur. Vanuit het standpunt van de consument is het erg wenselijk om zelf te kunnen bepalen welke apps de 'echte' gegevens mogen sturen en welke bogus (bounce@no.such.site, 12345679012345, etc.).

Dit is beter dan de gebruikelijke "my way or the highway" argumentaties m.b.t. EULA/voorwaarden/etc.
Dat zou ook in veel gevallen onwenselijk zijn, omdat applicatiemakers vaak geld verdienen met de kliks op gerichte advertenties in gratis applicaties.
Dat maak ik altijd nog zelf uit. Ik click zowiezo nooit op advertenties, voor zover AdBlock Plus ze al doorlaat. Een addblocker voor Android, dat zou pas interessant zijn. De Android versie van de Firefox beta ondersteund al plugins, hopenlijk werkt die ook.
een ad blocker zal er wel niet komen, aangezien google best wat verdiend aan die reclame in software
Hopelijk komt er ook snel een TaintDroid (of gelijkaardige app) voor de andere courante mobiele platformen, zodat we ook daar een beetje zicht krijgen wat er achter onze rug verstuurd wordt (hopelijk met blokkeerfunctie ingebouwd)
Nu afwachten op de eerste custom rom die een instelling inbouwt waarmee alle privacy gevoelige informatie simpelweg gemaskeerd of niet verstuurd wordt. :-)

Ik zet in op Cyanogen, uiteraard.
Ja, jouw apple telefoon zal dit nooit doen 8)7

Is gewoon een kwestie van tijd tot er een block/ fake plug word gemaakt.
Maar voor de meeste is het dan al te laat, je info ligt al op straat.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True