Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 76 reacties

Enkele ontwikkelaars hebben via een applicatie die een update van de game Angry Birds claimt te zijn een beveiligingslek van Android aangetoond. Google heeft de applicatie uit Market gehaald en rolt een update uit om het lek te dichten.

HTC LegendNormaal gesproken vraagt een applicatie voor installatie toestemming om toegang te krijgen tot bepaalde zaken, zoals hardware-elementen of de lijst met contacten. De fake-applicatie installeert echter ongemerkt drie applicaties die toegang hebben tot privégegevens. Dat zet de deur open tot misbruik, meldt Forbes. Angry Birds-ontwikkelaar Rovio bracht toevalligerwijs bijna tegelijkertijd een echte update uit die bonuslevels mogelijk maakt.

Google heeft actie ondernomen tegen het lek, aldus Cnet. De fake-applicatie is uit Android Market gehaald en binnenkort moet er een update voor Android komen die het lek dicht. Wanneer de update op toestellen komt, is vooralsnog onduidelijk. Updates in Android moeten via fabrikanten en providers op toestellen belanden, een proces dat weken of maanden in beslag kan nemen.

Behalve het lek dat met de Angry Birds-applicatie werd aangetoond, ontdekte een onderzoeker met de naam Nils een lek in de Android-browser van HTC. Dat lek zou het mogelijk maken dat, als een malafide website wordt bezocht, ongemerkt een kwaadaardige applicatie wordt geïnstalleerd. Het is aan HTC om dat lek te dichten, omdat de standaardbrowser in Android dit lek niet bevat. Nils demonstreerde het lek met behulp van een HTC Legend op een Black Hat-conferentie in Abu Dhabi.

Moderatie-faq Wijzig weergave

Reacties (76)

Dit toont wel een nadeel van de Android-constructie aan natuurlijk: er is niet 1 Android versie die even gepushed kan worden naar alle gebruikers (zoals bij iOS), maar Google is afhankelijk van telefoonfabrikanten en/of providers om dat te regelen, en het is maar de vraag of dat gebeurt, en zo ja, hoe snel.

Het zou beter zijn als Android een soort basislaag zou zijn, waar telefoonfabrikanten niets aan mogen wijzigen, en die door Google onderhouden en geupdate wordt. Fabrikanten kunnen dan optioneel daar zaken aan toevoegen zoals hun eigen skin of interface of wat ze ook maar willen, en zij zijn dan verantwoordelijk voor het onderhouden van dat deel. Beide onderdelen moeten onafhankelijk van elkaar te updaten zijn.

Zo gaat Android wat meer op een echt OS lijken, net als Windows is op een PC: fabrikanten voegen er vaak allerlei pre-installed software aan toe, maar Windows Update blijft gewoon werken en Microsoft blijft verantwoordelijk voor security-updates en kan daardoor snel handelen als het nodig is.
Elk voordeel heeft zijn nadeel, en dat werkt ook andersom. Er zijn veel manieren om malware te verspreiden en ook bij iOS zal men best iets kunnen vinden.

Op zich is het kunnen installeren van een willekeurige APK file een groter lek. Via downloadsites en momenteel zelfs een 'Black Market' (alternatieve market met illegale meuk) zijn die dingen te downloaden en te installeren. Ik snap niet dat iemand durft een app te downloaden van de black market, want de kans dat criminelen malware gaan verspreiden die bv zit te wachten tot jij gaat telebankieren is groot op die manier.

Maar ja...wat kun je dáár nu tegen doen? Het systeem is eenmaal zo bedacht, dus je kunt er niet zomaar vanaf stappen.
Zo gek vind ik het nou ook weer niet. Op je pc installeer je ook van alles en nog wat. Als een appstore een belangrijke 'line of defense' is klopt er gewoon iets niet in het beveiligingsmodel van de huidige smartphones.
Antivirus op je telefoon is ook een beetje lame...
Maar als het zo door gaat wel nodig!
Het zou beter zijn als Android een soort basislaag zou zijn, waar telefoonfabrikanten niets aan mogen wijzigen
Ja maar dan zou Android alleen op de Nexus hardware werken en niet met andere CPU's, beeldschermen, camera's etc. Een betere oplossing is als Google wat beter oplette wat ze allemaal in die market toelaten.
Mwa, voor hardware-verschillen tussen toestellen zijn toch wel oplossingen te bedenken? Android is toch Linux-gebaseerd, en Linux heeft volgens mij een prima driver-systeem wat gebruikt kan worden?
Inderdaad, het zou goed te doen moeten zijn...

Hoewel ik nog geen 'Linux Mobile' ben tegengekomen, draait Windows Mobile volgens mij wel op verschillende chipsets...
Dan kan de telefoonfabrikant er gewoon zijn eigen driver in proppen, en Android wordt onderhouden door Google... ;)
met apple brult iedereen dat het schandalig is. en nu roep jij dat google ook stricte policy moet hanteren op de market?

liever niet!
Een app controleren op bijv malware en privacy is wat anders dan de strikte en/of vage voorwaarden (programmeertaal, of "look & feel" past in iOS etc).
Tegen bescherming heb ik niets, beperking vind ik kwalijker.

Maar het staat mensen vrij om om die reden geen iPhone te kopen, er zijn immers genoeg equivalente alternatieven.
Het is dan ook helemaal niet zo slecht voor de gemiddeld gebruiker. Liever 1000 noob-users beschermd door voorafregulering en een porno app geweerd dan gigantische vrijheid van apps zonder beperking maar met een shitload aan bagger of louche apps imo.
Het enige nadeel aan Android is dat de updates die de gevonden beveiligingslekken moeten dichten niet zo snel verspreid kunnen worden.

Op het moment dat deze app ontdekt wordt moet google en htc gewoon kunnen zeggen we updaten over 3 dagen alle versies met dit lek.

De populariteit van Android wordt neemt bij velen af op het moment dat Google net als Apple meer controle uit gaat oefenen over de Market.
Dit nadeel is bij veel toestellen volledig en bij enkele toestellen (locked bootloader zoals Milestone) te omzeilen door een provider onafhankelijke full SBF te flashen of zelfs een Android versie op basis van AOSP te installeren.

Heb momenteel een DACH (provider onafhankelijke versie voor Milestones met QWERTZ toetsenbord) geinstalleerd, hoewel ook taal en toetsenbord setup met een paar instellingen gewijzigd kunnen worden, en heb op mijn Milestone reeds Android 2.2 draaien zodat het nadeel te moeten wachten op updates van mijn provider (vodafone) weg komt te vallen.

Ik zal binnenkort overstappen op AOSP based Android zodat ik in toekomst ook onafhankelijk zal zijn van Motorola voor mijn updates.

Telefoons zoals de Nexus One hebben direkt bij het verschijnen van een nieuwe versie de mogelijkheid deze te installeren.
Is de 2.2 die geinstalleerd hebt die via groupoften.wordpress.com?
Of welke instructies heb je daarvoor gevolgd? Bij die van Group of Ten zijn nog een paar nadeeltjes, dus als jij een andere hebt ben ik wel geďnteresseerd..
Ik heb wel zo'n update gedownload maar m'n angrybirds is wel gewoon geupdate met meer levels en bugfixes dus ik neem aan dat ik de goede versie heb gedownload? Ik kreeg namelijk ook een berichtje via de mail van Rovio dat ze hun update op de market hadden gezet.
Versie 1.4.2 met "45 new levels" is dan neem ik aan de goede update...!?
:Y

Kijk naar de eigenaar van de app. Als het van Rovio is, dan is het de goede.

Verder kan je ook updaten via de "downloads"-tab in de Market (als je de app al hebt). Dan heb je altijd de juiste.

Wel schandalig dat de naam van Rovio / Angry Birds hiervoor misbruikt wordt trouwens. Ik zou ze aanklagen!

[Reactie gewijzigd door Stukfruit op 12 november 2010 16:37]

Jij met je aanklagen.. Het is wel degelijk van belang dat die naam genoemd wordt, omdat het om een 'update' daarvoor gaat.
Dat over het aanklagen was natuurlijk een steek richting de huidige aanklaagcultuur in de mobiele wereld ;)

En belang of niet, het is belachelijk dat de ontwikkelaars van die fake-app er een bekende naam voor misbruiken.

Waarom? Ik zal het voor je uitleggen: veel mensen hebben geen idee wie de makers van Angry Birds zijn. Ze letten er dan ook niet op en denken dat alles met de naam "Angry Birds" van Rovio is. Betaalde wallpapers, beltonen, noem het maar op. Veel mensen weten niet beter dan dat Rovio hier zelf achter zou zitten (zelfs al laat de kwaliteit meestal te wensen over). Als men dat over zulke prullaria denkt, dan kan dat ook heel goed gebeuren met dit soort vieze fake-apps en krijgt Rovio een slechte naam omdat een paar prutsers hun punt willen bewijzen.

Ik begrijp dat van het belang waar je over spreekt, maar netjes is het helemaal niet!
ontdekte een onderzoeker met de naam Nils een lek in de Android-browser van HTC
Nils is een bekende van de bekende PWN2OWN competitie waarin hij al diverse browsers succesvol als eerste gehackt heeft.
Hoe gaat dat dan voor mensen met een custom rom? Werkt die update daar ook op? Maw, is het een update voor de market-applicatie, of voor het OS?
dubblepost.. :<

[Reactie gewijzigd door charevian op 12 november 2010 21:08]

Deze update moet wel eerst langs alle fabrikanten zodat hem van hun eigen interface kunnen voorzien. HTC zal er een hele speciale Sense-editie van maken. Als je een Xperia hebt zal de update volgend jaar rond deze tijd beschikbaar zijn.
Hmz ik had ook vage dingen en had zelf al die app verwijderd. Hoe kom ik aan die update om die security hole te fixen
En wanneer worden deze gaten gedicht voor mijn oude HTC magic. |:(
tja als je een security level in de software kernal in zou bouwen zou dat kunnen worden voorkomen dan kun je per applicatie het security level bepalen zodat zei geen ongevraagde autorisatie tot mogelijkheden en gegeven. }>
Ja de update die 'gewoon' versprijd is (door middel van bijwerken in de market) is niet geinfecteerd, het ging hier om een apparte versie die je te zien kreeg als je zocht op angry birds, een versie naast die van Rovio.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True