Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 190 reacties
Submitter: Squishy

Er is nieuwe malware opgedoken die alle mogelijke data steelt van Android-smartphones. De malware zit in aangepaste gratis apps, die Google inmiddels uit de Market heeft verwijderd. De apps installeerden ook een achterdeur in Android.

Google heeft 21 besmette applicaties binnen vijf minuten na de melding door Android-fansite AndroidPolice uit zijn downloadwinkel Market gehaald. Een ontwikkelaar claimt al eerder contact te hebben gezocht met Google voor verwijdering, maar zou nul op het rekest hebben gekregen. De apps zijn in vier dagen in totaal tussen de 50.000 en 200.000 keer gedownload, meldt AndroidPolice. Het gaat om gekopieerde versies van bestaande gratis applicaties, met namen als App Uninstaller, Scientific Calculator en Photo Editor. Daarnaast mikte de malwaremaker op gebruikers die apps downloaden met namen als Screaming Sexy Japanese Girls en Super Sex Positions.

De malware werd ontdekt door een redacteur van Reddit. De applicaties rooten automatisch de smartphone of tablet waarop ze worden geïnstalleerd via de 'rage against the cage'-methode, een bekende methode die gebruikmaakt van een kwetsbaarheid in Android om root-toegang te verkrijgen op toestellen. De app stuurt vervolgens allerhande data van de gebruiker ongemerkt door, zoals imei-nummer, user-id en andere info. Daarnaast kan het via een achterdeur extra software installeren op het toestel. Vermoedelijk heeft de malwaremaker daarmee volledige controle over het toestel.

Google heeft met zijn snelle reactie voorkomen dat meer mensen geïnfecteerd raakten, maar het is onduidelijk wat er gebeurt met mensen die nu al zijn besmet. Vermoedelijk is een harde reset voor slachtoffers voldoende, maar daarover is nog geen duidelijkheid.

De malware toont enkele zwakheden aan in Android; door de geringe controle van Google kan malware enige tijd onopgemerkt in Market staan. Bovendien heeft Google niet de mogelijkheid om een fix voor belangrijke bugs snel op alle toestellen te krijgen, omdat fabrikanten aangepaste firmwares moeten maken en providers die vervolgens moeten testen en uitrollen.

Update 22:05: website Android Central meldt dat de kwetsbaarheid die gebruikt werd door de malware om root-toegang te krijgen reeds is gedicht in versie 2.2.2 van Android.

Moderatie-faq Wijzig weergave

Reacties (190)

Voor de geinteresseerden : Dit zijn de apps waar het om gaat :
Falling Down
Super Guitar Solo
Super History Eraser
Photo Editor
Super Ringtone Maker
Super Sex Positions
Hot Sexy Videos
Chess
Falldown
Hilton Sex Sound
Screaming Sexy Japanese Girls
Falling Ball Dodge
Scientific Calculator
Dice Roller
Advanced Currency Converter
App Uninstaller
PewPew
Funny Paint
Spider Man
Netjes dat Google zo snel gereageerd heeft. Zo hoort het !

[Reactie gewijzigd door Mavamaarten op 2 maart 2011 12:40]

Ik heb Spider Man al maanden dus dat zal geen probleem zijn, maar PewPew heb ik echt net een paar dagen. De pagina van mijn versie is nog actief in de store, dus dat zal wel goed zitten lijkt me toch?
Het gaat om gekopieerde versies van bestaande gratis applicaties, met namen als App Uninstaller, Scientific Calculator en Photo Editor.
Ervan uitgaande dat je de app van de originele leverancier hebt wel.
Crap, dat Spider Man had ik geinstalleerd staan
Ook hier geldt: niet zomaar gratis apps van onbekende publishers installeren. Zou je op een pc ook niet zomaar doen. Ook kritisch zijn naar welke permissies een applicatie vraagt.

Als een simpel spelletje al je contactgegevens wil kunnen zien, aanpassen, sms'jes wil kunnen sturen etc., dan is dat misschien toch dubieus... Wel netjes dat je dat bij Android voor het installeren kunt zien, maar dan moeten gebruikers daar ook iets mee doen!
Probleem is dat bekende publishers een lastig begrip is. Ik denk dat Google er goed aan doet om certificaten uit te geven aan publishers als gebleken is dat ze deugdelijke apps kunnen maken, natuurlijk kunnen ze die weer kwijt raken als ze dat niet meer doen. Zo zal het voor gebruikers makkelijker worden om de kwaliteit te beoordelen, zonder dat je restricties oplegt.
Je bedoelt zaken als Symbian Signed en Java Verified. Prima systemen maar over het algemeen een dure en tijdrovende grap....
Daarom lijkt het me praktisch voor Google om developers de kans te geven om Android Certified te worden. Een certificatie waarin je moet aantonen dat je degelijke Android apps kan ontwikkelen. Als je dan kwaadwillende applicaties uitbrengt kunnen ze het certificaat terug intrekken. Op die manier kan je de boel beter beheersen dan nu het geval is.

Iets in vorm zoals het Google Apps Certification Program... Maar dan met de optie dat Google het certificaat kan intrekken.
enige jammere is dat als iemand een keer certified is, iedereen die dev vertrouwd... dus maakt hij een trojan zoals deze is de schade vele malen groter... (hij is zijn certificaat misschien kwijt, maar tegen die tijd is het kwaad al geschied)
Lekker veel informatie! om welke apps van welke makers gaat dit exact?
Dat wilde ik ook weten! Want dan kan je snel via "Mijn apps" in de Market nagaan of je het spreekwoordelijke bokje bent.

Het betreft (voor zover we nu weten) apps van de makers:
  • Myournet
  • Kingmall2010
  • we20090202
Bron: hier.
Die pagina bevat ook een uitgebreidere lijst met malafide apps.
Goede snelle reactie van google daar is niets op aan te merken.
hopen dat de fix sneller op de markt komt voor iedereen dan ze denken.
Als je de comments leest bij de bron die aangehaald wordt in het artikel zie je dat een maker van een gekaapte app al veel eerder tevergeefs heeft geprobeerd Google op de hoogte te brengen van de kaping. Echter liet Google niks van zich horen totdat het artikel op Reddit verscheen.
codingcaveman - I'm the developer of the original Guitar Solo Lite. I noticed the rogue app a bit more than a week ago (I was receiving crash reports sent from the pirated version of the app). I notified Google about this through all the channels I could think of: DCMA notice, malicious app reporting, Android Market Help...they have yet to respond. Thankfully this was posted on Reddit, since after the post the rogue dev and all his apps have been removed from the market. There really should be a faster/easier way to get Google to act on it!
Snelle reactie van Google. We mogen ervan uitgaan dat ook Apple's appstore vatbaar is voor dergelijke exploits ondanks de controle en ongetwijfeld net zo snel zal reageren.
De gebruikers zijn en blijven de zwakste schakel...

Maar het is inderdaad wel jammer dat Android niet makkelijk en snel
is te updaten... Voor mij is het volgende toestel één uit de Nexus reeks...

[Reactie gewijzigd door FiVAL op 2 maart 2011 11:47]

Hoezo zwakste schakel, ik kan als eindgebruiker niet bepalen wat voor toegang een applicatie mag hebben op mijn telefoon. Die mogelijkheid heb ik niet.
Ik download alleen via Android market, moet ervanuit gaan dat Google de beschikbare apps controleerd..

De zwakste schakel is Android OS zelf.
Het is geen Apple app store. De apps die in de market komen worden niet eerst helemaal gecontroleerd door Google. Dat heeft zijn voor- en nadelen.
Sinds wanneer controleerd Apple z'n Appstore? Er was enige tijd geleden nog een stuk over het feit waarbij de Applemannen beweerde dat Apple natuurlijk niet alles kon controleren.

Bron: nieuws: Apple aangeklaagd om delen persoonsgegevens met adverteerders

[Reactie gewijzigd door Dakreal op 2 maart 2011 12:25]

Niet alles is niet het zelfde als niks...

Elke iOS applicatie wordt op verschillende punten gecontroleerd, en 1 daarvan is een API scan die vaststelt wat voor soort operaties de applicatie uitvoert en of die overeenkomen met wat de ontwikkelaar claimt dat de applicatie doet. Hier wordt ook het gebruik van private API's gedetecteerd trouwens wat een instant reject betekent als je die gebruikt.

Als bij zo'n scan blijkt dat een photo editor API's gebruikt om bij je address book te komen of om rond te neuzen in de applicatie data van andere apps, dan wordt je applicatie gewoon afgewezen totdat jij als ontwikkelaar met een heel helder verhaal komt waar het voor nodig is. In sommige gevallen wordt er zelfs telefonisch contact met je opgenomen om het uit te leggen.

Al dat soort controles maken het toch echt een heel stuk lastiger om malware in de App Store te krijgen. Dat er ooit eens iets door de controle glipt betekent echt niet dat al die extra controle zinloos is. Mijn indruk van de Android Market is dat het gewoon allemaal vrijheid, blijheid is, met geen enkele interesse voor de risico's van de gebruikers, elke keer als er weer zoiets als deze Trojan opduikt bij Android dan wordt pas actie ondernomen nadat iemand toevallig ontdekt dat er iets niet deugt aan een applicatie.
Bij android apps moet je in je programma de gebruikte API's "registreren", alvorens je ze kan aanroepen. En elke geregistreerde API zal keurig verschijnen alvorens je de app kan installeren.

Als jij als gebruiker van mening bent dat een of andere photo editor app bij je contactgegevens mag, dan moet je dit toelaten; anders zou dit vraagtekens moeten oproepen bij de gebruiker.

Dit is het verschil tussen Google en Apple op dat vlak; Google laat je zelf nadenken, Apple denkt in jouw plaats. En het hangt af van de gebruiker wat voor hem/haar de ideale omgeving is.
Beetje een slappe redenatie, want blijkbaar is het via omwegen dus ook mogelijk om een applicatie te maken die deze beperkingen omzeilt, getuige het feit dat deze Trojan dus niet om specifieke rechten vraagt. Andere mogelijkheid is je Trojan verstoppen in een applicatie waarvoor het niet onlogisch is dat die bepaalde rechten nodig heeft, bijvoorbeeld een Trojan die je address book via het netwerk verstuurt verstoppen in een fake VoIP programma dat niks anders doet dan je gegevens kapen, doorsturen over het netwerk en dan crashen zodat de gebruiker niet doorheeft dat het een nep applicatie is.

Last but not least is het sowieso al naief om er van uit te gaan dat mensen serieus aandacht besteden aan die meldingen, en niet gewoon 'next, next, next, yes, yes, ok' klikken zoals desktop PC's al lang hebben aangetoond. Je zegt zelf:
Dit is het verschil tussen Google en Apple op dat vlak; Google laat je zelf nadenken, Apple denkt in jouw plaats
Waarmee je m.i. veel te naief bent door er van uit te gaan dat dat is wat mensen willen: 'zelf nadenken' over wat ze doen als ze een applicatie downloaden. Mensen willen niet zelf nadenken, mensen willen dat het apparaat voor hen nadenkt en het allemaal zo makkelijk en soepel mogelijk maakt.. De opmerking 'Apple denkt in jouw plaats' vind ik gewoon dezelfde typisch stereotype onzin die je altijd leest als het over de zogenaamde 'walled garden' gaat. Rethoriek is het, niks meer niks minder.
Het is dus te vergelijken met het instellen van een firewall op je PC.
Daar moet je jezelf ook afvragen welke gegevens een programma nou werkelijk van het internet af moet halen, en of je dat toe wil staan.

Punt is allen dat er soms goede redenen zijn om een api voor een programma toe te staan.
Zo zal een mail-programma heel legitiem bij je contacten kunnen komen, maar dat geeft je nog geen garantie dat 'ie ook niet even een kopietje ervan 'naar huis' stuurt.

Het blijft een kwestie van vertrouwen. En daar blijven mensen misbruik van maken. Daar zul je mee moeten leren leven.

De enige 2 wapens die je hebt zijn:
  • Wees zuinig met gegevens aan internet(apparatuur) toe te vertrouwen
  • Maak back-ups
Waarmee we weer terug zijn bij de opmerking dat de gebruiker de zwakke schakel is.
nieuws: 'Angry Birds stuurt contacten zonder melding naar derden' - update
Ik vraag me dan af als ik jou verhaal zo lees hoe kan het dat apple het goed vind dat je contacten worden gekopieerd voor een game, lijkt me nergens voor nodig.
Lees dat hele artikel nog een keer en nu inclusief de update. Angry birds stuurt geen contacten door naar derden, maar alleen geanonimiseerde gebruiksstatistieken via Flurry en Crystal, beiden opt-in diensten die ook nog eens op zo'n beetje elk mobiel platform beschikbaar zijn.

Los daarvan zeg ik ook helemaal niet dat Apple perfect is en dat er nooit malware in de App Store terecht kan of zal komen of gekomen is. Slechts dat de kans veel kleiner is bij een store waar een controle vooraf geldt dan een store waar alleen after-the-fact gecontroleerd wordt, en dat het onverstandig is om beslissingen over security- en privacy aspecten van applicaties aan de eindgebruiker over te laten.
Los daarvan zeg ik ook helemaal niet dat Apple perfect is en dat er nooit malware in de App Store terecht kan of zal komen of gekomen is. Slechts dat de kans veel kleiner is bij een store waar een controle vooraf geldt dan een store waar alleen after-the-fact gecontroleerd wordt, en dat het onverstandig is om beslissingen over security- en privacy aspecten van applicaties aan de eindgebruiker over te laten.
Ben het hier ten dele mee eens. Bij Android krijg je welliswaar een melding dat een programma rechten wil hebben voor iets. Als gebruiker weet je echter niet precies waar internetconnectie voor gebruikt wordt. Het zou kunnen om een highscore van een spel te downloaden, maar het kan natuurlijk misbruikt worden door persoonlijke gegevens te versturen.
Scherpere controle is daarom wel degelijk nuttig, uiteraard mag het niet zo doorschieten als bij Apple.
Kijken welke contacten je hebt zodat je kan vergelijken met vrienden.
Ze kunnen niet alles controleren, maar kwaadaardigen kunnen in ieder geval niet zomaar een aangepaste versie van een populaire app uploaden.
Pardon? Aan het begin bij het installeren staat aangegeven wat er aan toegang nodig is op de applicatie, waarin je zelf de keuze hebt of je daarmee akkoord gaat of niet.

Als mensen dan toch beslissen om de software te installeren, dan is dat de Gebruikerskeuze en niet de OS keuze.

Wat een belabberde afschilderpost gebasseerd op onwaarheden en bashing.
Maar als je je gegevens niet wilt geven kan je gewoon zowat geen apps installeren.Leuk dan zo'n smartphone zonder apps.
Er zijn zat apps die kunnen onderbouwen waarom ze rechten nodig zijn (zxing barcode scanner bijvoorbeeld). Bijkomend "voordeel" (voor mij) is dat zo'n pakket ook nog eens open-source is. Een geheim zou diep weggestopt moeten zitten om bewust als trojan te fungeren.

Kunnen / willen / doen ze geen details over permissies vrijgeven, dan heb ik zelf altijd mijn vraagtekens bij de integriteit van de d.b.t. app.

Daarnaast heb ik zelf wel een aantal apps die helemaal geen bijzondere toegang vereisen, dus hoezo "smartphone zonder apps"?

[edit] typo

[Reactie gewijzigd door E-B op 2 maart 2011 13:56]

Er wordt gebruik gemaakt van een backdoor. Er zal in de lijst met benodigde rechten heus niet vermeld staan dat de app voornemens is root-toegang te verkrijgen...
Maar een applicatie die gebruik maakt van een zwakheid in Android om root-toegang te krijgen zal er vast zijn hand niet voor omdraaien om deze melding te veranderen zodat de gebruiker niet juist ziet waartoe de applicatie toegang heeft.

Google zou beter wat controle op zijn market zetten, puur om deze zaken te vermijden. Het is niet dat ze controle uitvoeren dat ze hun regels zo streng moeten maken als Apple.
Er is niks onwaar aan het feit dat je geen echte keuze hebt wat je wel toelaat en wat niet. Het is accepteren of op zoek naar een alternatief, en als het alternatief ook dezelfde rechten wil hebben... tja, dan maar niks installeren "just to be save"?

En mijn reactie is helemaal niet als bashing bedoelt, ik ben zeer te spreken over Android maar beveiliging blijft dus een heikel punt.
Geef eindgebruikers de mogelijkheid om per applicatie in te stellen welke rechten wel mogen en welke niet.
Dat mensen de app toegang geven betekent toch niet automatisch dat ze toestemming geven voor het misbruik van hun telefoon.

Als ik jou als kennis mijn huissleutel geef dan heb je daarmee toch ook niet automatisch toestemming om bijvoorbeeld een groot feest te geven en een bende van mijn huis te maken?
Bij iedere applicatie die je installeert krijg je te zien welke rechten nodig zijn om de app te gebruiken.
Je geeft daar aan of je dat toestaat, of niet.

nooit opgevallen?
Sorry, ben zelf een tevreden Android gebruiker, maar dit is maar voor een stuk waar.
Ik betwijfel namelijk dat deze toepassingen waarover het hier gaat meldden dat ze je telefoon zouden rooten en privé-gegevens zouden gaan uploaden.

Voor apps die geen gebruik maken van exploits om zich te gaan misdragen heb je inderdaad voor de volle 100% gelijk, al zou het handig zijn om deze toepassingen de rechten selectief toe te kennen (bijvoorbeeld: nee, mijn foto-album app heeft geen internettoegang nodig omdat ik die moelijkheid om online albums te bekijken nu eenmaal niet gebruik).
Toch moet er al ergens een hint naar zijn geweest omdat de applicatie om gebruik te maken van een bepaald recht deze duidelijk moet neerzetten, anders kan hij er geen gebruik van maken. Ofschoon, zo heb ik begrepen van verscheidene sites over de techniek achter android.
Volgens mij zou daar in principe geen weg omheen voor kunnen zijn omdat het nu eenmaal die api nodig heeft om ook van de exploit in die api gebruik te maken...

Misschien is er wel een exploit te vinden die een api gebruikt via een andere api die onschuldiger lijkt, in dat geval is het ernstiger.


Wat ik me afvraag is of google niet een geautomatiseerd virtual android device kan draaien waar ingestuurde apps eerst ingegooit worden om te achterhalen of de app verdacht gedrag vertoont...
Doh!... ja tuurlijk is het wel opgevallen, daar gaat het niet om.
Kan jij bepalen wanneer b.v. netwerktoegang nodig is dat het op een legale manier gebeurd of illegaal... nee, dat kan niemand.
Het is leuk dat de rechten te zien zijn, maar wanneer ik rechten wil blokkeren KAN DAT NIET. En nee, ik heb mijn telefoon niet geroot... dat ga ik ook niet doen zolang ik nog een abo heb.

Kortom de zwakste schakel is Android OS zelf zoals ik al vermeldde.
Als je een applicatie bepaalde rechten niet wil geven installeer je hem niet en ga je op zoek naar een beter alternatief of zelf wat programmeren.
hehe, en als alle alternatieven dezelfde rechten wil moet ik maar zelf aan de slag met de Android SDK... da's toch geen oplossing.
Ik kan wel C++ en PHP, maar Android heeft een andere syntax ( kost ook aardig wat tijd om te leren, en te begrijpen ).
Zolang het niet bij de bron wordt opgelost blijft het probleem aanwezig.
Je kan in ieder geval een firewall installeren (DroidWall) als je em geroot hebt. Zo voorkom je dat niet-google apps automatisch informatie (voor het gericht weergeven van advertenties) verstuurt.

@worldcitizen: Dit doen antivirusmakers ook al, ik zou zeggen: zet zelf een site op die android apps automatisch controleert!
Maar dan moet de telefoon geroot worden, dat wil ik niet. :)
Jawel, niet installeren.
Wat een misvergelijking.
Right, het rechten probleem oplossen door de app dan maar niet te installeren hahaha.. Da's een mooie oplossing zeg.
inderdaad. Ik heb liever zoiets dat bij het installeren van een programma jezelf kan aangeven wat je wel en niet toestaat. Of zoiets mogelijk is weet ik niet, maar het is een beetje onnozel dat bijvoorbeel een photo editor app toestemming moet hebben om te bellen (iets in die trent).
Bij sommige apps lijkt het wel of de developer maar alle toegang vraagt, want dat is lekker makkelijk o.i.d.
Wat een mooie toevoeging zou zijn is dat je als app developer niet alleen de API's moet registreren die essentieel zijn voor het functioneren maar ook voor de optionele.

Dan kun je van een achtergrond wisselaar essentieel toegang tot je achtergrond verlenen maar optioneel toegang tot het internet (voor nieuwe achtergronden volgens de beschrijving, yeah right 8)7 ) verbieden.

Die optionele rechten kun je dan achteraf nog intrekken. Essentiële rechter intrekken is gewoonweg onzinnig, aangezien je app dan niet meer werkt.

Android beschouwt nu alle rechten als essentieel.

Een mooie toevoeging is ook certificaten voor vertrouwde apps, net als bij websites.
Het is leuk dat de rechten te zien zijn, maar wanneer ik rechten wil blokkeren KAN DAT NIET.
Kan dat bij een iPhone wel dan?
Dunno, het gaat hier om Android.
Doh!... ja tuurlijk is het wel opgevallen, daar gaat het niet om.
Kan jij bepalen wanneer b.v. netwerktoegang nodig is dat het op een legale manier gebeurd of illegaal... nee, dat kan niemand.
Het is leuk dat de rechten te zien zijn, maar wanneer ik rechten wil blokkeren KAN DAT NIET. En nee, ik heb mijn telefoon niet geroot... dat ga ik ook niet doen zolang ik nog een abo heb.

Kortom de zwakste schakel is Android OS zelf zoals ik al vermeldde.
Hoezo? Ondanks de waarschuwing dat een applicatie bepaalde dingen doet, installeer jij hem toch. En vervolgens klagen dat je het niet kan uitschakelen. JIJ bent hier de zwakste schakel, JIJ hebt ondanks waarschuwingen de applicatie geinstalleerd.
Je kunt misschien niet zelf bepalen welke toegang je applicatie kan hebben op je telefoon, maar je kunt voor het installeren wel kijken welke toegang een applicatie wil hebben en op basis daarvan beslissen om het wel of niet te doen.
De tijden dat hackers programma's schreven die via jou modem naar dure betaal nummer ging bellen komt op deze manier weer terug.

Zonder dat je het weet kan een ander misschien zelfs in de achtergrond onbeperkt bellen naar dure betaaldnummers via jou gsm kaartje. Dit kan je dus honderden nee zelfs duizenden euro's kosten.

Doordat gsm en computer en datainternet nu samengaan krijg je dus dit soort problemen.

Nu zijn providers aan zet om net als creditcard bedrijven te kijken naar abnormaal belgedrag of zelf maximum limieten in te stellen. De vraag is echter of ze dat willen doen ?

Je kan er op wachten dat dit in de toekomst een steeds groter probleem gaat worden en dat mensen op kosten gejaagd zullen gaan worden. Wie zijn schuld is het dan als dat gaat gebeuren .....

Dus gewoon geen apps op je iphone, android of weet ik wat.
Het gewoon nog een lekkere ouderwetse gsm, geen apps of andere zooi en dus niet dit soort problemen.
Goh, hangt af van de situatie...

Inderdaad:
Het gaat om gekopieerde versies van bestaande gratis applicaties, met namen als App Uninstaller, Scientific Calculator en Photo Editor.
Ik zou mezelf die calculator nog zien downloaden mocht dit niet al in mijn telefoon zitten.

Maareuhm:
Daarnaast mikte de malwaremaker op gebruikers die apps downloaden met namen als Screaming Sexy Japanese Girls en Super Sex Positions.
Als je dit download moet je achteraf niet zeuren om mallware hoor 8)7

Ik denk dat Google iets meer controles moet uitvoeren op de apps die geplaatst worden als ik dit lees. Ok als er een zwakheid in Android zit, maar als het via hun eigen app store verspreid wordt...
Als je dit download moet je achteraf niet zeuren om mallware hoor
Daar gaat mijn recht om te reageren. :+ Die verdomde schreeuwende sexy Japanse meisjes altijd! My only weakness. O+
Je kan inderdaad niet zeggen wat een app welen niet mag doen, maar je krijgt wel netjes te zien waar een app toegang tot heeft, je kiest er dus wel voor om een app met bepaalde rechten te installeren, met het gevolg dat die app dus de rechten heeft...

Stiekem hoop ik wel op een soort filter oid, dat je bijv nooit rechten over contacten weggeeft, en als een app dat dan toch wil dat je een melding krijgt en dan alsnog ja/nee kan opgeven...

Maar wat mij betreft is het huidige model al veilig genoeg, beter kan altijd.
Je krijgt wel een lijstje met machtigingen waartoe een applicatie toegang eist bij installatie, alvoor je het installeert. Je hebt dus weldegelijk zicht op welke acties een applicatie wil uitvoeren en het is aan jouw de keuze of je die applicatie vervolgens installeert of niet.
Dus ja, je kiest het zelf.

Natuurlijk wanneer malware achterpoortjes vindt, zoals hier het geval is, dan heb je het zelf niet meer in de hand.
Die mogelijkheid heb je wel. Bij installatie via de Android Market geef je de software die je installeert bepaalde rechten.
Zoals eerder gezegd, deze applicaties maken gebruik van een exploit. Je zult aan de rechten dus niet veel bijzonders zijn.
Sowieso is dat systeem nogal mank. Zegt een applicatie dat ie netwerktoegang en SD kaart toegang nodig heeft en ik klik op ja, betekent dat dan ook dat ik toestemming geef om de inhoud van mijn SD kaart via het netwerk te uploaden? Beetje een onbenullig soort 'beveiliging' als je het mij vraagt.

Je moet het beoordelen van beveiliging- en privacy gevoelige dingen niet aan eindgebruikers overlaten. Net zomin als bij PC's en netwerken zijn eindgebruikers gewoon niet in staat om genoeg informatie te verzamelen en beoordelen of iets wel of geen risico's heeft.
Nee iemand anders voor mij laten bepalen wat wel en niet mag ? dat is lekker privacy gevoelig ? Heb toch liever dat ik gewoon zie wat een applicatie mag/kan doen, dan weet je wat die mag.....
Noem nou eens een keer een concreet voorbeeld van een App Store submission guideline die voor jou bepaalt wat je wel en niet mag, en plaats van dezelfde oude mantra's die je ergens hebt gelezen na te praten?

Ik weet er 1 (een): applicaties met expliciete/sexuele content, strafbare uitingen of content die ten koste van personen of bedrijven gaat. Dat Apple dit uitsluit vind ik zeer verdedigbaar en begrijpelijk.

Alle andere regels gaan over kwaliteitscontrole, toegestande ontwikkeltools, betalingsverwerking, gebruikservaring, enzovoorts, en sluiten dus helemaal geen specifieke applicaties uit. Het zijn beperkingen voor ontwikkelaars, niet voor gebruikers, dus tenzij je zelf een iOS ontwikkelaar bent heb je gewoon weinig reden tot klagen.

Het is natuurlijk veel makkelijker om vrijwillig met je hoofd tegen de muur te blijven beuken in de overtuiging dat Apple een soort van Big Brother is, en dat mensen op Apple hardware de geweldigste dingen moeten missen die Android wel heeft, maar de realiteit is dat het precies omgekeerd is: de AAA-applicaties op iOS zijn vaak niet op Android beschikbaar, en de troep en malware leeft op Android. Als dat jouw keuze is, soit, maar dat eindeloze 'Apple houdt je handje vast' en 'Apple bepaalt wat ik wel en niet mag' is echt vrij onnozel.

[Reactie gewijzigd door johnbetonschaar op 2 maart 2011 15:29]

je kan in de android market JUIST bepalen welke rechten een applicatie heeft, hier vraagt de app namelijk om bij de installatie!
Ik download alleen via Android market, moet ervanuit gaan dat Google de beschikbare apps controleerd..
En daar ging het dus mis, Jij kan daar duidelijk NIET van uitgaan en zal zelf een stevig oogje in het zeil moeten houden. En dat is voor de meeste mensen gewoon niet te doen. Als ik Google was zou ik me een hoedje schrikken van dit incident.
Je mag toch aan nemen dat het voor Google en Apple mogelijk moet zijn om een heuristische scan op een programma uit te voeren. Zo'n scan moet kunnen nagaan of een programma van bepaalde zwakheden gebruik probeerd te maken.
Ik kan het niet anders dan slordig vinden dat dit kan.
De applicatie is wel meer dan 50k keer gedownload. Google heeft wel een remote-uninstall uitgevoerd maar door de backdoor kon gewoon andere software geinstalleerd worden en zodoende zijn systemen die eenmaal gecomprimeerd waren niet zeker totdat alle informatie die erop zat gewist is.

En @FiVAL: Dit is in geen opzicht de fout van de gebruiker. Die is hier helemaal geen zwakke schakel in. Android is de zwakke schakel met de onmogelijkheid om het OS tegen dergelijke beveiligings-lekken te updaten.
Het is niet onmogelijk om het OS tegen dergelijke beveiligingslekken te updaten, het duurt gewoon zeer lang en het hangt van de fabrikant af in plaats van Google.
Het is niet onmogelijk maar kennelijk wel moeilijk en dit is een zero-day vulnerability voor meer dan 200 miljoen mobiele gebruikers. Daar moet dan ongeveer zoals bij windows een directe update uitkomen.
Nee hoor.. want als ik niet zo'n app download gebeurt er ja niks..
We mogen ervan uitgaan dat ook Apple's appstore vatbaar is voor dergelijke exploits ondanks de controle en ongetwijfeld net zo snel zal reageren
Apple en Microsoft kunnen voor zover ik weet ook apps weer door het iOS of WP7 laten uninstallen.
Als ik het artikel zo lees kan Google dat op android niet en zijn de gebruikers die een malware apps hebben gedownload gewoon de klos.
Dat kan wel, maar de vraag is of het verwijderen van de app in dit geval nut heeft. Er wordt automatisch al een achterdeur opengezet en een ander bestand geinstalleerd. Daar ligt het probleem; het automatisch verwijderen van de app zal in dit specifieke geval niet veel helpen :)
Ik denk dat de enige manier een factory reset is in dit geval.
En dan natuurlijke alles even dichtgooien en de dingen waarvan je weet dat open kan open zetten.
Lijkt mij
Dat is het zelfde als zeggen dat als je spyware op je PC hebt staan.
Dat je zegt dat het verwijderen van de programma die dat veroorzaakt heeft verwijderen helpt.
Terwijl de spyware zich al vastgeklampt heeft in andere software...
Sorry maar dat gaat ook niet eens op voor iOS of WP7.
Bedoel je een z.g.n. remote kill switch? Naar zeggen heeft Google er ook 1 (Google).

Net zo goed als dat ze bij Google juist dingen kunnen pushen (zoals de Market update in December 2010).
Als Apple en Microsoft dat kunnen vind ik dat eerlijkgezegd iets slechts. Ze kunnen op afstand dingen op mijn telefoon veranderen?
Ze kunnen dus op afstand, zonder tussenkomst van de gebruiker, geinstalleerde apps deinstalleren.
Applicaties geinstalleerd door middel van de App Store, resp. Google Market.
Je kunt hier wel slecht over denken maar ik ga ervan uit dat het uitsluitend als extra beveiliging bedoeld is..
je indentiteit :)
Nee, dat veranderen ze niet. Dat slaan ze alleen maar op.
ER zullen best exploits zijn voor de App Store, maar Apple laat veel minder toe in de App store vergeleken met de Android market.
Bij een Jailbreak is de kans op besmetting dan wel veel groter, natuurlijk.
Apple screent alleen op zichtbare dingen die Apple zelf niet goed keurt.

Ik kan me nog goed de flashlight tether applicatie herinneren. Stond ook gewoon in de app store. En een tijd geleden waren er ook heel veel apps die toegang tot van alles en nog wat eisten terwijl ze eigenlijk niets (zichtbaar) anders deden zoals een wallpaper installeren.

Dus een zelfde scenario zie ik zo gebeuren, alleen kan Apple wel patches pushen.
Er is altijd een mogelijkheid dat zo'n trojan ook bij apple en microsoft naar binnen glipt, maar in ieder geval bij apple is de kans veel kleiner. Ze controleren veel strenger, en echt niet alleen op het gebruik van private API's. Bijvoorbeeld die tether-app was gewoon heel slim gedaan, maar werkte niet buiten de app sandbox die ervoor zorgt dat apps geen schade aan kunnen richten; trojans doen dit wel.

En inderdaad, stel dat er toch zo'n backdoor wordt gevonden (userland jailbreaks anyone?), dan kan apple dit veel sneller verhelpen dan google. En daarmee bedoel ik niet na 2 dagen eruit halen, wat nog vrij snel is, maar al die aparte appstores e.d. waar google door de versnipperdheid van android geen controle over heeft. Ik ben heel benieuwd hoe dit in de toekomst zal gaan!
Ik denk dat Google de Android emulator moet gebruiken die een nieuwe app automatisch test.
Op kwaliteit en betrouwbaarheid.

Deze zou dan hebben detecteert dat de app the android probeert the roten.
Dit kun je zien door de Android extern the monitoren.

[Reactie gewijzigd door worldcitizen op 2 maart 2011 13:05]

Best een goed idee! :)
Google verdiend genoeg aan deze apps, een kleine controle op mogelijk misbruik lijkt me wel op z'n plaats. Lijkt me dat ze niet zitten te springen op lekken die ervoor zorgen dat minder mensen apps downloaden/kopen, omdat het vertrouwen langzaam wegzakt door malware.
Gelukkig wel een snelle reactie van google.
Ik gebruik de market nu eigenlijk alleen nog maar voor updates van de app's die ik al heb.
Heb het alleen 1 keer gehad dat ik een verkeerde MSN app had gedownload en dat me msn wachtwoord opeens verranderd was :o.
Sindsdien lees ik ook gewoon de comments bij de app.
En daarbij heb ik altijd een link naar me andere mail staan die in een verborgen instelling staat in me settings van me msn :F dus voor de maker van die app :P

Edit:
En die app was ook binnen 2 dagen verwijderd na meerdere meldingen.

[Reactie gewijzigd door kniftagstuh op 2 maart 2011 11:55]

200.000x gedownload…snel ?
Een app kan op een dag met meer dan 2 miljoen android gebruikers ter wereld al 50.000 x gedownload zijn.
Met andere woorden 4 dagen speling voor de app..
1 dag dat ze er achter zijn en dezelfde dag ze er af halen...
Vind ik 4 dagen redelijk snel als je bedenkt dat sommige bedrijven er een week 2 weken over laten gaan wat dus dat het dan al boven de 800.000x gedownload zat ;)

Edit:
By the way:
Google heeft 21 besmette applicaties binnen vijf minuten na de melding door Android-fansite AndroidPolice uit zijn downloadwinkel Market gehaald......... De apps zijn in vier dagen in totaal tussen de 50.000 en 200.000 keer gedownload, meldt AndroidPolice.
5 minuten nadat ze er achter zijn is SNEL!
En volgens mij staat er toch echt 50k tot 200k dus misschien was het wel alleen maar 100k x gedownload ;)

[Reactie gewijzigd door kniftagstuh op 2 maart 2011 23:43]

Google hoort anders iedereen die via de market place één van die aps heeft gedownload een mail of sms te sturen om te waarschuwen voor dit probleem. Dat doen torrent admins ook als er een virus wordt aangetroffen in één van de torrents op hun site.
Het artikel geeft duidelijk 2 zwakheden van het model van Google aan. Geen controle dus komt maiware makkelijk in de store en geen mogelijkheid om een bugfix te verspreiden bij een lek in Android.

Apple heeft van beide punten geen last. De kwetsbaarheid van apple is door het eerste punt een flink stuk minder en het tweede punt geeft Apple de mogelijkheid adequaat op te treden indien er alsnog een probleem opduikt.

Apple hier bij halen slaat dus nergens op. |:(

Het tweede punt is trouwens vrij ernstig. Iedereen heeft hier een grote mond als er weer eens een lek in Microsoft software gevonden wordt, maar Microsoft heeft in ieder geval de mogelijkheid die lekken te dichten. Google heeft er feitelijk voor gekozen gebruikers van Android met een niet te patchen smartphone OS op te zadelen. Nu smartphones echt meer dan telefoons met een agenda beginnen te worden is dat geen leuk vooruitzicht.

Met een beetje pech is dit het begin van een maandelijks Android virus nieuwsitem. Ik ben benieuwd welke maatregelen Google gaat nemen om haar OS en de gebruikers beter te gaan beschermen.
Denk niet dat de Appstore van Apple vatbaar is, aangezien Apple controleert welke applicatie in de appstore komt, en Android min of meer toch eigenlijk als toelaat. In ieder geval wel goed dat Google zo snel ingrijpt.
Kan net zo goed voorkomen, als je app bijv na 1 maand pas actie onderneemt komt het gewoon door de controle van Apple heen want die testen een app echt niet zo lang :)
dat gaat minder snel gebeuren. daarvoor heeft apple niets voor niets quality control
Op een gejailbreakte iPhone...
Wat een onzin!
Heb je dat artikel uberhaupt wel gelezen?
"This is technically the first Trojan horse seen for the iPhone; however, it does appear to be more of a prank than an actual threat," Cox wrote in a blog post. "The impact of uninstalling the 'Trojan' would appear to be an unintended side effect."
Dus geen 50.000 tot 200.000 geinfecteerden.
Laat staan dat het niet eens in de appstore aanwezig is geweest.
En dan vind ik het jammer dat slechts T-Mobile onbeperkte data aanbiedt.
Toch wel goed zo'n strenge controle van Apple. Dit had niet eens mogen gebeuren Google.
Normaal lees ik vooral reacties dat het zo fijn is dat Android zo open is, in tegenstelling tot Apple. Nu blijkt dat dus ook nadelen te hebben.
Beetje triest dat dan direct de eerste reactie is dat dat ook bij Apple wel had kunnen gebeuren.
zoals altijd zijn de reacties van de Android lovers wel weer erg mild.
Als dit bij Apple zou gebeuren loopt iedereen gelijk moord en brand te schreeuwen.
Ik vind dit wel een erg kwalijke zaak dat apps niet goed worden nagekeken voordat ze in de marketplace worden geplaatst. Apple doet dit vaak wel stukken beter.
Voordat we in een flamewar komen, Google heeft een ander model gekozen en heeft daarbij (helaas) dit risico genomen. Het enige wat het kan doen is snel reageren en dat heeft het in dit geval gedaan, dus logisch dat Android lover mild zijn. Neemt niet weg dat dit aantoont dat het model misschien wel nog wat verbetering behoeft.
Misschien omdat het beleid veel strakker is, dan verwacht je dit soort dingen niet, bij Android ben je zelf de controleur (aan de hand van de gevraagde rechten bij het installeren kan je zelf conclusiies trekken) ipv Google dus ja dan moet je je zelf ook aankijken mocht je wat installeren wat bepaalde rechten wil die je ze zelf moet geven!

Bij Windows hetzelfde liedje, probleem ligt bij de gebruiker, ik heb nergens last van (niet in windows en niet in Android), want ik let gewoon goed op en op me telefoon veel meer dan op me computer, er staat veel meer belangrijke data op me telefoon, en ook nog is de mogelijkheid om geld via mijn CC uit te geven :)
android is het gewoon het nieuwe windows, voor mobieltjes, net als windows veel aanhangers heeft, heeft android dat ook, inclusief virussen, vinden de aanhangers leuk, kun je lekker mee kloten.
Je kan het ook anders benaderen...

Omdat Android een open systeem is, is het makkelijker om gaten op te sporen zodat men hier vervolgens misbruik van kan maken.

Omdat het gebleken is dat het lastig is om hier direct op in te springen, de fabrikant moet immers de fixes doorvoeren, is het systeem mogelijk kwetsbaarder dan bijvoorbeeld een gesloten iOS besturingssysteem waarbij de fabrikant de updates naar de gebruiker "pusht".

De impact zal in het geval van Android net zo groot lijken als bij WIndows, puur door het marktaandeel wat men bezit. Als Linux als desktop besturingssysteem marktleider zou zijn, dan zou je het zelfde probleem hebben, denk ik.

Wederom een voor/nadeel van Android hier verder op in gaan zou niet on-topic zijn (en is ook al vaak genoeg gedaan). :)
Ach als ze maar tegen Apple kunnen aanschoppen
Ik dacht precies hetzelfde. Als het bij Microsoft of Apple gebeurd was, dan was de toon heel wat minder mild...
Dit lijkt me het zwakste punt van Android (en smartphones in het algemeen). Het blijven leuke dingen om mee te spelen maar qua betrouwbaarheid kunnen ze toch niet op tegen een simpele gsm. Bedrijven moeten nu al niet enkel de laptops en eventuele datadragers van gebruikers in het oog gaan houden maar ook de telefoons. Het lijkt me niet onvoorstelbaar om doelgericht via een smartphone gegevens van belangrijke personen te weten te komen en zelfs een bedrijfsnetwerk binnen te dringen.
"Dit lijkt me het zwakste punt van Android (en smartphones in het algemeen). Het blijven leuke dingen om mee te spelen maar qua betrouwbaarheid kunnen ze toch niet op tegen een simpele gsm".

Beetje een open deur. Je laptop of PC kan het kwa veiligheid (betrouwbaarheid is neem ik aan niet precies wat je bedoelde) ook niet winnen van een industriële 286 die helemaal nergens mee verbonden is. Internet is per definitie niet veilig als je het sec bekijkt.

Los daarvan dient Google zelf de apps te controleren eer ze in de Market komen te staan; kost wellicht wat manuren, maar dat lijkt me beter dan deze heisa achteraf.
In hoeverre is het dan nog een open systeem? Dan is het bijna vergelijkbaar met hoe Apple haar App Store beheerd.
De mate van openheid hangt natuurlijk grotendeels af van de gestelde eisen aan de apps in de market...

Van mij hoeft er niet op inhoud gecontroleerd te worden, maar het lijkt mij niet dat er iemand op tegen is als Google alle apps uit de market scant op trojans, etc...
Als een app zomaar root toegang aan kan krijgen, waarom gebruiken al die apps die root vereisen dan niet ook die manier?
Er zijn apps die dat wel kunnen. Denk maar aan one-click root, met zelfs de mogelijkheid om een tijdelijke root te realiseren. Maar volgens mij was die na enige tijd al niet meer via de market te krijgen.
Volgens mij ook en volgens mij werkte dat ook helemaal niet op elke telefoon/android versie.
Het enige dat ik eigenlijk wil weten is: zijn mijn creditcardgegevens veilig?

Stel dat ik malware op mijn telefoon heb en ik vul opnieuw mijn creditcardgegevens in bijvoorbeeld de store in, kan dit worden afgelezen?
Afhankelijk van de malware wel, maar dat geldt voor iedere computer.
Zou ik als hightech crime team (hebben we toch al in NL?) een honeypot bouwen. Open een bankrekening, creëer een facebook/twitter/hotmail etc account. Hou deze allemaal 24x7 in de gaten. Koop een smartphone, ga gebruik maken van de hiervoor genoemde diensten. Download de kwaadwillende apps, kijk wie er vanaf waar op welk moment zichzelf toegang verleend tot die diensten en je hebt beet? Of denk ik nu te makkelijk? Ja, het kan zijn dat je alsnog een zoektocht door x proxies wereldwijd moet gaan doen of gaan praten met de politie in verweggiestan als blijkt dat er vanuit daar wordt geopereerd maar het is een start toch?
Je pakt er alleen katvangers mee, de echte criminelen zitten veilig in het buitenland en de katvangers kennen hun echte naam toch niet.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True