Google brengt Android-update uit om 'Angry Birds-lek' te dichten

Enkele ontwikkelaars hebben via een applicatie die een update van de game Angry Birds claimt te zijn een beveiligingslek van Android aangetoond. Google heeft de applicatie uit Market gehaald en rolt een update uit om het lek te dichten.

Normaal gesproken vraagt een applicatie voor installatie toestemming om toegang te krijgen tot bepaalde zaken, zoals hardware-elementen of de lijst met contacten. De fake-applicatie installeert echter ongemerkt drie applicaties die toegang hebben tot privégegevens. Dat zet de deur open tot misbruik, meldt Forbes. Angry Birds-ontwikkelaar Rovio bracht toevalligerwijs bijna tegelijkertijd een echte update uit die bonuslevels mogelijk maakt.

Google heeft actie ondernomen tegen het lek, aldus Cnet. De fake-applicatie is uit Android Market gehaald en binnenkort moet er een update voor Android komen die het lek dicht. Wanneer de update op toestellen komt, is vooralsnog onduidelijk. Updates in Android moeten via fabrikanten en providers op toestellen belanden, een proces dat weken of maanden in beslag kan nemen.

Behalve het lek dat met de Angry Birds-applicatie werd aangetoond, ontdekte een onderzoeker met de naam Nils een lek in de Android-browser van HTC. Dat lek zou het mogelijk maken dat, als een malafide website wordt bezocht, ongemerkt een kwaadaardige applicatie wordt geïnstalleerd. Het is aan HTC om dat lek te dichten, omdat de standaardbrowser in Android dit lek niet bevat. Nils demonstreerde het lek met behulp van een HTC Legend op een Black Hat-conferentie in Abu Dhabi.

Door Arnoud Wokke

Redacteur

Feedback • 12-11-2010 16:1876

12-11-2010 • 16:18

76 Linkedin

Lees meer

HTC Legend

geen prijs bekend

Score: 4.5

Hacker claimt autodeur te kunnen ontgrendelen via sms Nieuws van 29 juli 2011
Angry Birds-maker overweegt beursgang in VS Nieuws van 19 maart 2011
VakantieVeilingen.nl zet privégegevens in html-broncode Nieuws van 11 februari 2011
Angry Birds nog dit jaar voor Wii en 3DS Nieuws van 7 februari 2011
Angry Birds verschijnt deze week op PS3 en PSP Nieuws van 4 januari 2011
'Angry Birds stuurt contacten zonder melding naar derden' - update Nieuws van 20 december 2010
Angry Birds doorbreekt grens van vijftig miljoen downloads Nieuws van 17 december 2010
Gebruikers kunnen Android-app nog maar kwartier kostenloos uitproberen Nieuws van 11 december 2010
Angry Birds-maker kondigt in-app-betaling en pc-versie aan Nieuws van 11 december 2010
Android-lek laat websites gegevens van sd-kaart halen Nieuws van 25 november 2010
Android Market krijgt leeftijdsrating voor apps Nieuws van 25 november 2010
HTC brengt update uit voor nabijheidssensorprobleem Desire HD Nieuws van 23 oktober 2010
Tweaker kraakt bootloader HTC Desire Nieuws van 29 september 2010
Ontwikkelaar: driekwart NL-downloads Android-app is gekraakt Nieuws van 27 augustus 2010
Google: beveiliging Android-apps is niet op beveiliging gericht Nieuws van 25 augustus 2010
Googles beveiliging voor Android-apps gemakkelijk te omzeilen Nieuws van 24 augustus 2010
Google: ontwikkelaar stal geen privégegevens Android-gebruikers Nieuws van 6 augustus 2010
Meer producten en artikelen
Mobiele besturingssystemen Privacy Smartphones Google HTC Android Beveiliging

Reacties (76)

-Moderatie-faq
76
61
25
2
0
11
Wijzig sortering
Moartn
12 november 2010 16:33
Dit toont wel een nadeel van de Android-constructie aan natuurlijk: er is niet 1 Android versie die even gepushed kan worden naar alle gebruikers (zoals bij iOS), maar Google is afhankelijk van telefoonfabrikanten en/of providers om dat te regelen, en het is maar de vraag of dat gebeurt, en zo ja, hoe snel.

Het zou beter zijn als Android een soort basislaag zou zijn, waar telefoonfabrikanten niets aan mogen wijzigen, en die door Google onderhouden en geupdate wordt. Fabrikanten kunnen dan optioneel daar zaken aan toevoegen zoals hun eigen skin of interface of wat ze ook maar willen, en zij zijn dan verantwoordelijk voor het onderhouden van dat deel. Beide onderdelen moeten onafhankelijk van elkaar te updaten zijn.

Zo gaat Android wat meer op een echt OS lijken, net als Windows is op een PC: fabrikanten voegen er vaak allerlei pre-installed software aan toe, maar Windows Update blijft gewoon werken en Microsoft blijft verantwoordelijk voor security-updates en kan daardoor snel handelen als het nodig is.
mphilipp
@Moartn12 november 2010 17:27
Elk voordeel heeft zijn nadeel, en dat werkt ook andersom. Er zijn veel manieren om malware te verspreiden en ook bij iOS zal men best iets kunnen vinden.

Op zich is het kunnen installeren van een willekeurige APK file een groter lek. Via downloadsites en momenteel zelfs een 'Black Market' (alternatieve market met illegale meuk) zijn die dingen te downloaden en te installeren. Ik snap niet dat iemand durft een app te downloaden van de black market, want de kans dat criminelen malware gaan verspreiden die bv zit te wachten tot jij gaat telebankieren is groot op die manier.

Maar ja...wat kun je dáár nu tegen doen? Het systeem is eenmaal zo bedacht, dus je kunt er niet zomaar vanaf stappen.
zwippie
@mphilipp12 november 2010 20:02
Zo gek vind ik het nou ook weer niet. Op je pc installeer je ook van alles en nog wat. Als een appstore een belangrijke 'line of defense' is klopt er gewoon iets niet in het beveiligingsmodel van de huidige smartphones.
Raventhorn
@zwippie25 november 2010 20:16
Antivirus op je telefoon is ook een beetje lame...
Maar als het zo door gaat wel nodig!
mashell
@Moartn12 november 2010 16:41
Het zou beter zijn als Android een soort basislaag zou zijn, waar telefoonfabrikanten niets aan mogen wijzigen
Ja maar dan zou Android alleen op de Nexus hardware werken en niet met andere CPU's, beeldschermen, camera's etc. Een betere oplossing is als Google wat beter oplette wat ze allemaal in die market toelaten.
Moartn
@mashell12 november 2010 16:44
Mwa, voor hardware-verschillen tussen toestellen zijn toch wel oplossingen te bedenken? Android is toch Linux-gebaseerd, en Linux heeft volgens mij een prima driver-systeem wat gebruikt kan worden?
Raventhorn
@Moartn25 november 2010 20:15
Inderdaad, het zou goed te doen moeten zijn...

Hoewel ik nog geen 'Linux Mobile' ben tegengekomen, draait Windows Mobile volgens mij wel op verschillende chipsets...
Dan kan de telefoonfabrikant er gewoon zijn eigen driver in proppen, en Android wordt onderhouden door Google... ;)
sirono
@mashell12 november 2010 16:45
met apple brult iedereen dat het schandalig is. en nu roep jij dat google ook stricte policy moet hanteren op de market?

liever niet!
dtech
@sirono12 november 2010 18:09
Een app controleren op bijv malware en privacy is wat anders dan de strikte en/of vage voorwaarden (programmeertaal, of "look & feel" past in iOS etc).
Tegen bescherming heb ik niets, beperking vind ik kwalijker.

Maar het staat mensen vrij om om die reden geen iPhone te kopen, er zijn immers genoeg equivalente alternatieven.
MsG
@sirono12 november 2010 18:12
Het is dan ook helemaal niet zo slecht voor de gemiddeld gebruiker. Liever 1000 noob-users beschermd door voorafregulering en een porno app geweerd dan gigantische vrijheid van apps zonder beperking maar met een shitload aan bagger of louche apps imo.
ajakkes
@MsG15 november 2010 07:24
Het enige nadeel aan Android is dat de updates die de gevonden beveiligingslekken moeten dichten niet zo snel verspreid kunnen worden.

Op het moment dat deze app ontdekt wordt moet google en htc gewoon kunnen zeggen we updaten over 3 dagen alle versies met dit lek.

De populariteit van Android wordt neemt bij velen af op het moment dat Google net als Apple meer controle uit gaat oefenen over de Market.
Anoniem: 311244
@Moartn12 november 2010 17:39
Dit nadeel is bij veel toestellen volledig en bij enkele toestellen (locked bootloader zoals Milestone) te omzeilen door een provider onafhankelijke full SBF te flashen of zelfs een Android versie op basis van AOSP te installeren.

Heb momenteel een DACH (provider onafhankelijke versie voor Milestones met QWERTZ toetsenbord) geinstalleerd, hoewel ook taal en toetsenbord setup met een paar instellingen gewijzigd kunnen worden, en heb op mijn Milestone reeds Android 2.2 draaien zodat het nadeel te moeten wachten op updates van mijn provider (vodafone) weg komt te vallen.

Ik zal binnenkort overstappen op AOSP based Android zodat ik in toekomst ook onafhankelijk zal zijn van Motorola voor mijn updates.

Telefoons zoals de Nexus One hebben direkt bij het verschijnen van een nieuwe versie de mogelijkheid deze te installeren.
GORby
@Anoniem: 31124417 november 2010 12:22
Is de 2.2 die geinstalleerd hebt die via groupoften.wordpress.com?
Of welke instructies heb je daarvoor gevolgd? Bij die van Group of Ten zijn nog een paar nadeeltjes, dus als jij een andere hebt ben ik wel geïnteresseerd..
Gammort
12 november 2010 16:28
Ik heb wel zo'n update gedownload maar m'n angrybirds is wel gewoon geupdate met meer levels en bugfixes dus ik neem aan dat ik de goede versie heb gedownload? Ik kreeg namelijk ook een berichtje via de mail van Rovio dat ze hun update op de market hadden gezet.
airell
@Gammort12 november 2010 16:33
Versie 1.4.2 met "45 new levels" is dan neem ik aan de goede update...!?
Stukfruit
@airell12 november 2010 16:36
:Y

Kijk naar de eigenaar van de app. Als het van Rovio is, dan is het de goede.

Verder kan je ook updaten via de "downloads"-tab in de Market (als je de app al hebt). Dan heb je altijd de juiste.

Wel schandalig dat de naam van Rovio / Angry Birds hiervoor misbruikt wordt trouwens. Ik zou ze aanklagen!

[Reactie gewijzigd door Stukfruit op 12 november 2010 16:37]

laurenssie
@Stukfruit12 november 2010 17:54
Jij met je aanklagen.. Het is wel degelijk van belang dat die naam genoemd wordt, omdat het om een 'update' daarvoor gaat.
Stukfruit
@laurenssie12 november 2010 22:15
Dat over het aanklagen was natuurlijk een steek richting de huidige aanklaagcultuur in de mobiele wereld ;)

En belang of niet, het is belachelijk dat de ontwikkelaars van die fake-app er een bekende naam voor misbruiken.

Waarom? Ik zal het voor je uitleggen: veel mensen hebben geen idee wie de makers van Angry Birds zijn. Ze letten er dan ook niet op en denken dat alles met de naam "Angry Birds" van Rovio is. Betaalde wallpapers, beltonen, noem het maar op. Veel mensen weten niet beter dan dat Rovio hier zelf achter zou zitten (zelfs al laat de kwaliteit meestal te wensen over). Als men dat over zulke prullaria denkt, dan kan dat ook heel goed gebeuren met dit soort vieze fake-apps en krijgt Rovio een slechte naam omdat een paar prutsers hun punt willen bewijzen.

Ik begrijp dat van het belang waar je over spreekt, maar netjes is het helemaal niet!
Anoniem: 80466
12 november 2010 17:41
ontdekte een onderzoeker met de naam Nils een lek in de Android-browser van HTC
Nils is een bekende van de bekende PWN2OWN competitie waarin hij al diverse browsers succesvol als eerste gehackt heeft.
_Thanatos_
12 november 2010 18:55
Hoe gaat dat dan voor mensen met een custom rom? Werkt die update daar ook op? Maw, is het een update voor de market-applicatie, of voor het OS?
charevian
12 november 2010 20:58
dubblepost.. :<

[Reactie gewijzigd door charevian op 12 november 2010 21:08]

Jeronymus
13 november 2010 10:14
Deze update moet wel eerst langs alle fabrikanten zodat hem van hun eigen interface kunnen voorzien. HTC zal er een hele speciale Sense-editie van maken. Als je een Xperia hebt zal de update volgend jaar rond deze tijd beschikbaar zijn.
n00bs
12 november 2010 16:55
Hmz ik had ook vage dingen en had zelf al die app verwijderd. Hoe kom ik aan die update om die security hole te fixen
EvilItSelf
13 november 2010 10:53
En wanneer worden deze gaten gedicht voor mijn oude HTC magic. |:(
Anoniem: 363224
15 november 2010 08:57
tja als je een security level in de software kernal in zou bouwen zou dat kunnen worden voorkomen dan kun je per applicatie het security level bepalen zodat zei geen ongevraagde autorisatie tot mogelijkheden en gegeven. }>
jamiev90
12 november 2010 16:31
Ja de update die 'gewoon' versprijd is (door middel van bijwerken in de market) is niet geinfecteerd, het ging hier om een apparte versie die je te zien kreeg als je zocht op angry birds, een versie naast die van Rovio.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee