Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 67 reacties
Submitter: begintmeta

In verscheidene versies van het mobiele besturingssysteem Android blijken Google-diensten een authenticatieverzoek onversleuteld te versturen, waardoor dit onderschept kan worden. Hierdoor kunnen hackers persoonlijke informatie stelen.

Onderzoekers van de universiteit van Ulm kwamen erachter dat Google-diensten, zoals de agenda en contacten, in Android een token voor gebruikersauthenticatie versturen via een http-verbinding, in plaats van via https. Door het onderscheppen van dit zogeheten authToken kan toegang worden verkregen tot persoonlijke informatie, zoals de contactenlijst of andere data die bij het account hoort. Authenticatie verloopt normaal gesproken via de ClientLogin-api van Google en is bedoeld om gebuikers toegang te verlenen tot Google-diensten. Ook applicaties die door ontwikkelaars zijn gemaakt kunnen ClientLogin gebruiken, zodat er misschien veel meer applicaties zijn waarbij persoonlijke gegevens kunnen worden onderschept.

Het blijkt dat de meeste Android-versies de benodigde authenticatietokens onversleuteld versturen, maar in de nieuwste versies, 2.3.4 voor smartphones en 3.0 voor tablets, blijkt wel van https gebruikgemaakt te worden. Overigens maken nog steeds niet alle diensten gebruik van https; bij het synchroniseren van data met een Picasa-account worden tokens nog steeds met http verstuurd. Ook beschikken vooralsnog weinig gebruikers over de nieuwste versie van het mobiele OS. Vooral bij smartphones kan het lang duren voordat fabrikanten hun toestellen van een nieuwe Android-release voorzien.

De onderzoekers verkregen de authTokens door met Wireshark packets te sniffen die over een onbeveiligd wifi-netwerk werden verstuurd. Zij raden daarom aan om geen gebruik te maken van wifi-netwerken die niet beveiligd zijn, totdat het beveiligingslek is gedicht. Daarnaast kunnen Android-ontwikkelaars voor gebruikersauthenticatie ook gebruikmaken van oAuth, een alternatieve authenticatiemethode.

Eerder bleek al dat verscheidene Android-applicaties hun informatie onversleuteld verzenden. Nu blijkt dat dit waarschijnlijk vooral te wijten is aan de authenticatiemethode die de internetgigant heeft ontwikkeld om gebruikers toegang te geven tot Google-diensten.

ClientLogin tokens ClientLogin tokens
Moderatie-faq Wijzig weergave

Reacties (67)

Het blijkt dat de meeste Android-versies de benodigde authenticatietokens onversleuteld versturen, maar in de nieuwste versies, 2.3.4 voor smartphones en 3.0 voor tablets, blijkt wel van https gebruikgemaakt te worden. Overigens maken nog steeds niet alle diensten gebruik van https; bij het synchroniseren van data met een Picasa-account worden tokens nog steeds met http verstuurd. Ook beschikken vooralsnog weinig gebruikers over de nieuwste versie van het mobiele OS.
Of zoals aangegeven wordt, 99,7% van de gebruikers gebruikt deze versies nog niet.

Het bijkomende probleem is dat het ook nog eens erg gemakkelijk is. Als je een open wifi netwerk opzet met dezelfde naam als een gesloten wifi netwerk dan gaat Android automatisch aanloggen omdat deze het netwerk voor zijn idee herkent. Omdat de sleutels vaak twee weken geldig zijn gaan applicaties vaak automatisch gegevens ophalen waardoor je makkelijk achter deze sleutels kan komen.

Denk bijvoorbeeld aan twitter diensten die automatisch checken op nieuwe tweets of mail applicaties.
Is dit werkelijk zo? Wordt er niet gefilterd op MAC-adres van het wifinetwerk o.i.d? Anders is dit wel een heel erg kwalijke zaak.
Nee alleen de Wifi router (host) doet eventueel filtering op MAC adres niet de client (Android in dit geval).

En dat is geen kwalijke zaak, of heb jij ooit in moeten stellen dat je alleen wilt verbinden met bepaalde wifi routers? en alle open routers wilt negeren?
en alle open routers wilt negeren?
Nee maar zeker niet automatisch verbinden met een onbekend netwerk. Bij een nieuw gevonden open netwerk zal Android een notificatie geven met de vraag of je wilt connecten, dan wordt je doorgestuurd naar de lijst met SSID's en moet je ook nog is zelf klikken op een netwerk om te connecten...
Het bijkomende probleem is dat het ook nog eens erg gemakkelijk is. Als je een open wifi netwerk opzet met dezelfde naam als een gesloten wifi netwerk dan gaat Android automatisch aanloggen omdat deze het netwerk voor zijn idee herkent.
Wat een bullcrap, dat verzin je ter plekke...

Ik heb hier een netwerk: gekkehouse, met WPA2/PSK... kan gewoon connecten enzo gaat perfect, haal ik het wachtwoord er af connect me telefoon niet, maar komt dus met de vraag of ik wil connecten met een OPEN netwerk, vervolgens moet ik handmatig met het netwerk connecten (als ik dat wil, heb ik niet gedaan).. Zet ik het wachtwoord weer aan connect me telefoon weer uit zichzelf!

Oftewel die onzin die je net verkondigd (waar tweakers ook nog is +2 voor geeft) werkt niet eens met een router met hetzelfde MAC adres EN hetzelfde SSID, want ik heb voor die test gewoon 1 en dezelfde router gebruikt.

[Reactie gewijzigd door watercoolertje op 17 mei 2011 15:30]

Dus er is een interventie vanuit de gebruiker nodig. Ik denk dat de gemiddelde gebruiker die de melding krijgt of hij met netwerk X wilt verbinden waarbij de naam van netwerk X overeenkomt met de naam van het netwerk wat hij kent al snel zal toestemmen.

Als ik vlak bij een bedrijf ga staan met mijn open wifi router met dezelfde naam als die gebruikt wordt in het gebouw hoelang denk je dat het duurt voordat er een aantal gebruikers gekoppeld zijn aan mijn netwerk? Ookal krijgt de gebruiker een melding? Ik denk dat de meeste zullen denken dat er een hik-up in de software was en klakeloos doorklikken.
+1 de meeste gebruikers denken echt niet na bij meldingen,... Ergens misschien niet zo'n slechte zaak anders zat ik al lang zonder werk ;). Het aantal pc (%ueel gesproken) dat ik zie (achter mijn uren) waar iets mis mee is door het mindless klikken van de gebruiker is gewoon niet te schatten.
Ten eerste heb eigenlijk helemaal geen zin in een discussie met jouw, je roept maar wat in je eerste post en vervolgens durf je daar helemaal niet echt op terug te komen/toe te geven... Terwijl het echt onzin is wat je riep....

Hoef je alleen nog maar remote de router uit te zetten van het bedrijfje, immers als je netjes geconnect bent gaat Google heus niet verder zoeken hoor en krijg je ook geen meldingen van gevonden WiFi netwerken...
Excuses, had het eerst in de reactie wel neergezet maar door het editen was het weer verdwenen, dus ja daar had je gelijk in. Maar blijft wel, als je buitenstaat heb je meestal geen bereik van de wifi van binnen of slecht bereik. Hoe makkelijk probeert je telefoon dan alsnog te switchen of als eerste contact te vinden met het open netwerk? Het wordt niet voor niets in de onderzoeks resultaten genoemt dat juist die open netwerken het zo gevaarlijk maken. Daarnaast zijn niet altijd alle legitieme netwerken volledig dicht gezet. Denk aan hotspots bij de mc donalds of in de trein of bij bibliotheken.
Auch. Dat is best pijnlijk / slordig over het hoofd gezien van Google.

Maar goed, de patch zal vast al upstream in de pijplijn zitten, en horen we binnenkort de update landen.

die updates kon Google tegenwoordig toch zonder tussenkomst van de Android/Telefoon - bouwers pushen?
Er staat toch duidelijk dat het vanaf 2.3.4 al opgelost is? Dat telecom operators die updates niet sneller verspreiden is niet de schuld van Google.

Het is natuurlijk niet netjes dat Picasa niet geupdate is... Maar als dit bij Google duidelijk word, zullen ze vast in 2.3.5 alle diensten naar HTTPS omzetten. Kleine moeite...
Het is niet dat het niet duidelijk was bij Google, het is een bewuste keuze geweest om het HTTP te laten. Dit heeft namelijk een aantal voordelen.

Je kan niet overal HTTPS gebruiken (wordt bijvoorbeeld geblokeerd).
HTTPS certificaten en enctryptie is zwaarder voor je netwerk en servers, zonder haal je hogere performance.
Implementatie van clients worden een stuk simpeler met HTTP.

Dat het zo zichtbaar is was waarschijnlijk ook wel bekend, maar ook hier wogen de voordelen meer op dan de nadelen waarschijnlijk.

Nu is alleen de publiciteit erbij gekomen waardoor het nu zwaarder weegt om wel HTTPS toe te passen.

-- Aangepast, zoals hieronder wordt aangegeven.... GMail in de browser blijft in HTTPS.

[Reactie gewijzigd door ronaldmathies op 17 mei 2011 15:31]

Ik houdt het slotje gewoon in me browser hoor, tevens zie ik via firebug alle request over HTTPS gaan...
Zoals hieronder aangegeven, mits je het aanzet. Maar toch weer die voorkeur voor HTTP:

http://mail.google.com/support/bin/answer.py?answer=74765

Daarnaast snap ik waar het verschil vandaan komt met wat ik zie en wat watercoolertje ziet. Ik gebruik GMail via Google Apps en hier staat het standaard in iedergeval niet aan.

Sterker nog, ik kan niet vinden waar ik het aan kan zetten.

Persoonlijk toch ook wel kwalijk eigenlijk, dat het zelfs voor bedrijven standaard uit staat.
Gmail is set to use the 'Always use https' setting by default, but you can change this setting anytime
Komt direct uit je link, eerste regel zelfs. Bovendien staat er in deze blogpost nog wat meer info over de default https setting.

[Reactie gewijzigd door fifarunnerr op 17 mei 2011 16:13]

Dat gaat inderdaad over de standaard gmail, nou graag nog iemand die het voor google apps gmail ontkracht zodat ik ook weet hoe ik het aan moet zetten :)
Ik heb de optie Always use SSL thans aanstaan ;3

Veel mensen zetten de veiligheid opties niet aan zoals Two Factor Authenticatie en SSL etc.
ok, veel voordelen om http te gebruiken. Het enige 'nadeeltje' is dus dat derden je gegevens kunnen bemachtigen of zie ik dat verkeerd?
Er staat toch duidelijk dat het vanaf 2.3.4 al opgelost is? Dat telecom operators die updates niet sneller verspreiden is niet de schuld van Google.
Leuke constatering waar je als gebruiker dus zo ongeveer helemaal niks aan hebt.

Google levert het OS, Google beslist hoe de authenticatie verloopt, Google beslist waar de telefoon fabrikanten aan moeten voldoen om hun telefoon 'Android' telefoon te noemen, en Google beslist of, hoe en wanneer ze een probleem als dit oplossen in Android.

Dan kan je bij dit soort redelijk grove beveiligingsproblemen wel als een stelletje kleuters vingertje gaan wijzen wie zijn schuld het nu is dat praktisch niemand met een Android telefoon deze update snel gaat krijgen (tenzij je een custom ROM gaat draaien), maar wat schiet je daar nu mee op? Feit blijft gewoon dat je kunt verwachten dat over een jaar nog steeds een groot deel (waarschijnlijk de meerderheid) van de Android toestellen kwetsbaar is voor dit lek, en dat is best wel een groot probleem als je het mij vraagt. Wie zijn 'schuld' het is, is niet relevant.

Sowieso kun je best een flink debat voeren over de manier waarop Google zijn OS ontwikkelt en aan telefoon fabrikanten levert, en hoe er met patches wordt omgegaan. Google heeft bewust voor dit model gekozen omdat carriers en telefoon fabrikanten het wel mooi vinden om alles te kunnen aanpassen en allerlei functies toe te voegen of juist te blokkeren, en omdat Google het wel mooi vind om meer Android activaties te tellen. Daarbij hoort wat mij betreft ook de verantwoordelijkheid voor beveiligings updates. Dan hadden ze vanaf het begin maar moeten zorgen dat in de contracten die ze met de Motorola's, Samsungs, HTC's en de providers hebben gesloten stond dat de fabrikanten en carriers verplicht zijn beveiligingsupdates binnen enkele dagen door te voeren, anders wordt hun licentie om 'with Google' op hun telefoon te zetten of het een 'Android telefoon' te noemen ingetrokken. Je kunt niet doelbewust iedereen maar lekker zijn gang laten gaan met alle voordelen van dien, en dan achteraf bij de nadelen de verantwoordelijkheid gaan afschuiven met "ja dat is niet de schuld van Google". :/

[Reactie gewijzigd door johnbetonschaar op 17 mei 2011 16:12]

Ik wil wel zeggen dat het updaten van android firmware nou niet echt soepeltjes is/gaat.
Hoezo gaat het updaten niet soepel? Het updaten gaat uitermate soepel en zorgt vrijwel nooit voor problemen. Het enige wat niet soepel gaat is het omzetten van de bloatware wat meegeleverd wordt door de provider/fabrikant. Gelukkig heb ik als tweaker daar geen last van
Voor mensen die geen tweaker zijn kan dit nogal vervelend zijn, ik heb zelf heel lang met dat ding moeten knommelen voordat er 2.1 op stond en dat 3 maanden na release in Europa. Ik geef je gelijk qua bloatware (als ik denk dat het is wat je bedoelt), ik heb zelf een samsung galaxy spica maar de software is dom weg gewoon niet/nauwelijks compatible met android.
ga naar samdroid.net en leef je uit ;)

(heb nu 2.2 spicagenmod veel beter dan standaard 2.1...)
liever niet :P dat ding is al 2 keer naar de winkel geweest omdat de software was gecrasht en met CFW heb je geen garantie.
Mensen hier zijn wat verblind door voorliefde voor het Android systeem, maar het updaten verloopt verre van vlekkeloos. Dus je hebt helemaal gelijk S7YX. Het updaten kan nog een stuk beter geregeld worden.
Ik heb op mijn DHD inmiddels 2 updates mogen ontvangen. Beide keren gaf de telefoon zelf aan dat er een update was en deze heeft deze over the air geïnstalleerd.. zonder problemen?

Misschien moet je kijken bij een andere fabrikant van je telefoon ipv het OS de schuld geven..
Mijn Desire heeft ook vaak last van fouten bij updates.
De Android 2.2 update heb ik bijvoorbeeld 4 keer moeten downloaden, omdat ik bij de eerste 2 keren niet genoeg ruimte beschikbaar had (25 MB!) wat hij pas aan het einde van de update meldde. Bij de derde keer was er een fout opgetreden, waardoor hij pas bij de vierde keer succesvol was geüpdate. Hopen dat het met Android 2.3 straks beter gaat.
@Marcoryn: Updaten niet vlekkeloos? Het probleem is volgens mij nog steeds het niet goed lezen van instructies. Als ik kijk naar mijn Galaxy S, 2 maal via standaard procedure bijgewerkt en toch geen enkel probleem. Nu is 1 toestel geen referentie, alleen is het aantal gemelde problemen niet in verhouding tot het aantal uitgeleverde Android telefoons. Voor mij is 10.000 foute flash updates op 10.000.000 een acceptabele uitval, het wordt erger wanneer het 10.000 is op 100.000 toestellen.

Daarnaast kan je ook de vraag stellen of mensen die meerdere malen hun telefoon bricken niet iets fouts doen of een systeem gebruiken wat discutabel is. Daarnaast hoor je altijd alleen de problemen in de diverse fora en niet wanneer het goed gaat wat een vertekend beeld geeft.
Huh, exquise me? Ik werd 2 weken geleden wakker, keek op mijn Nexus S en zag dat 2.3.4 geinstalleerd was hoor, zonder dat ik er iets voor heb hoeven doen.
Dan noem je ook ongeveer het enige toestel dat al 2.3.4 kan hebben: zeer recent, en _de_ officiële Google phone.

Voor HTC's gaat het al iets langzamer, en bij Samsung is het helemaal dramatisch (zie hier net boven). Samsung en SonyEricsson hebben wel verbetering beloofd in updatesnelheid, maar voor mij is dat eerst zien dan geloven.
of je moet aan de custom roms, ik heb al een hele tijd 2.3.4 op mijn HTC HD2 draaien
Ik heb ook 2.3.4 op m'n Galaxy S, als je zelf wilt dan kan er een hoop. Neemt niet weg dat het slordig is van Google dat dit pas nu gefixt is.
Sinds wanneer update iedereen netjes zijn OS van z'n telefoon, of uberhaubt beschikbaar wordt voor zijn mobiel? :P
Sinds er updates zijn? Maar ik moet zeggen dat sinds OTA updates beschikbaar worden gemaakt het wel veel handiger is.
Sinds wanneer update iedereen netjes zijn OS van z'n telefoon, of uberhaubt beschikbaar wordt voor zijn mobiel?
Sinds Apple dat doet op de iPhone.
(En nee, dit is geen Android bash).

Apple was de eerste telefoonfabrikant waar Jan Modaal en niet een Tweaker zijn telefoon van een nieuwe frimware kon voorzien.
Ja, er waren firmwareupdates voor andere telefoons, maar niemand kon/deed dat, omdat je de speciale programmeerkabel nodig had en aan de firmware moest zien te komen...
Met WM was het ook zo moeilijk om een .exe te runnen op je PC met de telefoon aangekoppeld...

Nummer 100 op de lijst met zogenaamde uitvindingen van Apple :S

[Reactie gewijzigd door watercoolertje op 17 mei 2011 15:26]

Vaak gedaan als een service op mijn werk.
Mensen hebben er bang van omdat ze het nog nooit gedaan hadden terwijl je gewoon je mini-USB kabel(Zonder proprietary 30 pins kabel van 30 euro!) en dan een htcnaamhierWM6.1.Exe opent, stappen volgt en er door bent.

Als je een HTC android van deze tijden hebt, als ze een update pushen komt het je automatisch vragen of je het wilt downloaden en installeren of uitstellen.
Het was niet moeilijk, maar je moet het wel doen. Zoals hierboven genoemd, Jan Modaal gaat dit waarschijnlijk niet doen. De OTA updates zoals de Nexus One en Nexux S krijgen zijn dan veel makkelijker. Ik hoop dat meer fabrikanten dat gaan toepassen voor serieuze security problemen. Er hoeft imho geen volledige besturingssysteemupdate te komen voor dit soort patches.
Tja, afgezien van het feit dat Apple dus NIET de eerste was is ook hun manier niet handig. We hebben hier een iPad en maar 1 Windows-computer (rest = Linux). Op die Windows-computer moeten we dus iTunes draaien, maar omdat er inmiddels geen plek meer is voor de VERPLICHTE backup die je moet maken bij het updaten naar 4.3.3 zit de iPad vast op 4.2.1. Andere partities hebben ruimte zat, maar in iTunes ben je verplicht om de backups op C te hebben ...
Virtuele windows bak onder Linux?
Ik weet vrij zeker dat ik mijn HTC Tytn II heb kunnen updaten via een eenvoudig te installeren programma en met mini-USB. Deze telefoon is een jaar eerder uitgekomen dan de Iphone 1. Wat je zegt klopt dus niet.
Sinds Google dat doet met Android. Hoef je niets voor te doen, gaat helemaal vanzelf.
Kom op zeg, encryptie is het eerste waarmee je begint als je zo iets maakt. Kijk naar PSN dat is ook enorm slordig. En dat met creditcard gegevens!
Die CC gegevens als ik het goed heb werden niet ge-encrypt maar er werdt gebruik gemaakt van hash wat even goed een beveiliging is, dan wel niet optimaal maar in ieder geval geen plain text
Aha dus nu zijn het de operators. Als je goed nadenkt haden ze https gewoon standard moeten inbouwen. Het versturen van tokens moet altijd verslueteld zijn maar ja bij google dus niet.

Bij google moeten ze ook leren dat software maken niet zo éénvoudig is. Ze gevena ltijd af op MS vanwege de veiligheid maar ja google laat ook wat steken vallen.
Maar goed, de patch zal vast al upstream in de pijplijn zitten, en horen we binnenkort de update landen.
Google kan de telefoons niet zelf patchen.
En op dit moment zit het probleem in 99% van de Android telefoons.
Vermoedelijk worden de meesten daarvan nooit meer geupgrade naar 2.3.4 of hoger.
Het is dus gewoon al opgelost zoals FireDrunk al zegt. Maar ze er dus zelf ook achter gekomen, en hebben het nu gedicht, met terugwerkende kracht een update voor 1.6 nog pushen naar telefoons is volgens mij helemaal niet mogelijk, en zal dit beveiligingslek daar altijd blijven... Wat natuurlijk wel zeer te betreuren is, maar laten we optimistisch blijven: "beter laat dan nooit"
Ik blijf gewoon wachten op WP7, dit is nu een van de redenen waarom ik tot nu toe geen android wou. Tegenwoordig gaat het allemaal zo snel en soepel , hup gooi maar in de cloud en lalala. En dan krijg je achteraf te horen dat het toch allemaal niet zo veilig is.

Hoop wel dat MS niet van zulke fouten zal maken.
Ik vrees dat je daar redelijk bedrogen gaat uiitkomen. Of je nu iOs, android,... Gebruikt allemaal hebben ze tekortkomingen als het op privacy, veiligheid aankomt. Ben zelf een iPhone gebruiker en besef ook wel dat dit niet veilig is en denk eerlijkgezegd dat geen enkel platform dit is. Het is telkens een afweging tussen kosten/baten. Uiteindelijk begint veiligheid bij de gebruiker en niet bij het OS dan ben je er aan voor de moeite.
Je houdt nu toch echt jezelf voor de gek, tuurlijk is het slecht/dom/achterlijk, maar een cloud is een cloud daar doet Google aan, maar ook MS (en Apple binnenkort geloof ik ook), dus wat dat betreft zit je nergens veilig. Je kan trouwens gewoon kiezen GEEN gebruik te maken van de cloud hoor. Gewoon de Google Apps links laten liggen, blijven genoeg alternatieven voor Android over!

En je spreekt alsof je dit al wist, waarom heb jij dan niet een mooi artikeltje geschreven?
dit is nu een van de redenen waarom ik tot nu toe geen android wou
Ik snap niet waarom dit soort dingen niet aan het licht komen bij security testen. Er is weinig kennis nodig om dit na te doen, laptop + wireshark is voldoende zo te lezen.

Ik denk dat we in deze tijd waar hacken nu volop in het nieuws komt, toch nog beter moeten kijken naar security. Anno 2011 hebben denk weinig mensen nog een losse agenda in hun tas. Alles gaat bijna digitaal daarom is een goede beveiliging nu echt nodig.
Omdat deze keuzes bewust gemaakt worden. Google weet heus wel dat http wordt gebruikt ipv https, daar hoef je geen lastige tests voor te doen. Een simpele "grep" op de source code en je weet genoeg.

Veel waarschijnlijker had Google zijn infrastructuur op https nog niet helemaal klaar of niet voldoende getest. Of wellicht waren er performance problemen met enkele (nu oudere) telefoons. (Telefoons die waarschijnlijk geen updates meer krijgen.)
Dit is nu net waar ik al een tijd voor vreesde, dat het oh zo populaire Android primaire zaken zoals HttpS zou 'vergeten'
't moet zo snel vooruitgaan dat privacy en security (hopelijk tijdelijk) opgeofferd worden voor spielerei en feature-enhanced.. Google music/video ..en bvb .videobellen
Want een gebruiker heeft er geen betere ervaring mee of ziet het niet dat de onderliggende schil stabieler/safer is geworden ... de eeuwige ratrace :X
't moet zo snel vooruitgaan dat privacy en security (hopelijk tijdelijk) opgeofferd worden voor spielerei en feature-enhanced..

Mensen geven geen zier om hun privacy. Maar als er ergens een bug od is, o wee, dan is iedereen ineens een rockster of bankmanager wiens informatie 'onschatbaar' is.
Iets met eigen keus en geen keus?

Als ik over mezelf iets zeg op internet is dat me eigen keus, als een bedrijf mijn gegevens lekt die daar beveiligd zouden staan (waar ik bijv. dat bedrijf juist voor koos) is dat niet mijn keus geweest, maar wel mijn gegevens...

Snap je dat verschil niet, zou ik maar gouw terug naar school gaan ;)

[Reactie gewijzigd door watercoolertje op 17 mei 2011 16:33]

Inderdaad erg slordig van Google, ik ben benieuwd als hier voor de oudere versies nog een patch op gaat komen.
Mensen zouden geen smartphone moeten kopen zolang ze allemaal slechte ondersteuning hebben. Smartphones zijn kleine computers geworden en dus is het noodzakelijk dat er minstens één keer per week updates (en dan vooral beveiligingsupdates) kunnen gepushed worden.

Boycot die brol tot ze stoppen met code en GUI in elkaar te verstengelen zoals op branded Androids. Boycot die brol tot ze jullie support geven voor het overbetaald stukje gadget dat smartphones zijn.
Wekelijke updates heb je op desktops soms niet.

Oh en als je die branded crap niet wilt is er toch nog altijd de Nexus S van Google/Samsung.
Fijn. Op wifi in het buitenland dus eerst syncen uitzetten, dan met wifi verbinden, dan vpn-verbinding opzetten, dan syncen weer aanzetten. Na het syncen zelf weer de syncfuncties uitzetten :P

Die authenticatietoken geeft je hopelijk geen toegang tot álle Google-diensten he? :X
Wow dat is wel super slecht! In het buitenland maak ik alleen maar gebruik van open wifi netwerken. Ik dacht er al vaak aan dat dan mijn wachtwoord wel over die verbinding zou gaan, maar nam aan dat dat zeker wel beveiligd zou zijn! Net zoals met gmail...

Hoe moeilijk is het om https te implementeren ipv http? Is dit nu een hele lakse fout van google of...?
Keep in mind, assumption is the mother of all fuckups ;).

Ot: je zou wel kunnen verwachten dat bedrijven van die grote en ervaring het toch iets serieuzer zouden opnemen met dit soort zaken. Hoe dan ook ik vind het wel merkwaardig dat dit ondertussen is opgelost/aangepast dit is niet echt een bug zou ik zo denken maar een bewuste keuze.
je moet gewoon geen applicaties gebruiken, maar doe alles VIA de browser! VIA https bent je lekker veilig!
Kom maar op met de kamervragen. Dit kan nog wel eens lachen worden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True