Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 89 reacties

Voorge´nstalleerde apps op Android-telefoons gaan slordig om met hun rechten in Android, waardoor malware sms'jes kan versturen en willekeurige nummers kan bellen zonder toestemming te vragen. Dat ontdekten Amerikaanse onderzoekers.

De bugs zitten in het toestemmingsmodel van Android; elke app moet bij installatie toestemming vragen om toegang te krijgen tot zaken als locatie, hardware-elementen en belfuncties. Deze worden dan expliciet genoemd in het scherm.

Door een slordige implementatie hiervan bij apps die de fabrikant en provider op het toestel zetten, blijkt het op diverse telefoons mogelijk om sms'jes te versturen, de locatie op te vragen of telefoontjes te plegen zonder dat daarvoor toestemming is gevraagd en zonder dat te zien is dat er iets gebeurt, aldus onderzoekers van de Amerikaanse University of North Carolina. Systeemapps blijken zo nu en dan hun permissies 'door te geven' aan andere apps, waardoor die laatste zaken kunnen uitvoeren die ze eigenlijk niet zouden mogen doen.

De onderzoekers maakten een app die telefoons kan testen op 13 punten, waaronder het opvragen van de locatie bij benadering, de precieze locatie via gps, het installeren en verwijderen van apps, het opnemen van audio en het resetten van het toestel. De app, Woodpecker, werd getest op acht toestellen, waaronder de HTC Legend en Wildfire S. Op de Legend bleek het onder meer mogelijk om ongemerkt audio op te nemen en de locatie op te vragen.

Vooral software die door de fabrikanten of providers op toestellen wordt gezet, is vatbaar voor deze bug, stellen de onderzoekers. Zij vinden dat meer onderzoek moet worden gedaan, onder meer naar het bestaan van deze bugs in third-party-apps die gebruikers downloaden in Android Market. De universitaire onderzoekers dragen aan dat een tool als Woodpecker in de sdk van Android kan worden meegeleverd, zodat fabrikanten en ontwikkelaars software van tevoren hierop kunnen nalopen.

Door het grote marktaandeel van Android is het besturingssysteem onderwerp van veel onderzoek naar beveiliging. Zowel malware als beveiliging op smartphones staat nog in de kinderschoenen, waardoor er weinig over het onderwerp bekend is. Door de vele data die gebruikers op smartphones zetten, zoals inloggegevens van sociale netwerken en contactgegevens, kunnen smartphones een aantrekkelijk doelwit zijn voor malwaremakers.

Woodpecker: welk lek zit in welke telefoon?

Moderatie-faq Wijzig weergave

Reacties (89)

Zo te zien lijkt vooral HTC slordig om te gaan met voorgeinstalleerde applicaties. Sluit weer goed aan met het hele Carrier IQ verhaal bij hun.
Het is niet HTC dat het probleem is, het is dat hele Android model dat gewoon mank zit. Met heel dat open gedoe hoeft niemand verantwoordelijkheid af te leggen en kan men gewoon doen waar men zin in heeft. Rootkitje plaatsen? Geen probleem, flikker het er maar op. Apps die niet stroken met je business model? Verwijderen en vervangen door apps die niemand boeit maar zorg er dan ineens voor dat je ze niet kan verwijderen want mensen willen onze apps niet.

Kijk dan even naar een bedrijf dat wel volledige verantwoordelijkheid moet afleggen omdat het zowel de hardware als het OS levert en dan zie je dat dat soort onzin niet kan. Rootkits plaatsen gaat dan niet. Als je dan Carrier IQ gebruikt ben je wel verplicht de gebruiker in te lichten wat dat soort software doet en moet je wel de controle daar over bij de gebruiker laten. Je zal dan maatregelen moeten nemen om te voorkomen dat ontwikkelaars eender wat op je toestellen pleuren.
Alsof je op de iphone wel alles weg kunt halen wat je niet aan staat? Kom op, probeer op zijn minst eens een beetje objectief te zijn zeg...
Je hebt het toch over Apple?

Het was Apple zÚlf die CarrierIQ erop zette. Geen kwestie van slordige apps zoals bij Androidtoestellen, nee PURE MOEDWIL.
Maar dat zal de ware gelovige toch niet willen inzien...

Apple zal nu wel andere spyware "user experience feedback software" erop zetten bij je volgende update.
Je mening lijkt nogal (fruit)gekleurd.
De tabel bij de onderzoeken toont aan dat het met de Google telefoons wel goed zit. Dan kun je dus niet stellen dat het Android model mank zit. Omgekeerd heeft iOS ook al een paar keer onder vuur gelegen i.v.m. security issues.
Het probleem ligt met name bij de fabrikant. Als ik een HTC koop en HTC levert voorgeinstalleerde programma's mee, dan mag ik ervan uitgaan dat deze programma's door HTC zijn getest op kwaliteit. Idem als ik bij Vodafone een toestel ga halen en Vodafone levert software mee. Google zou zich imo moeten inspannen om de leveranciers onder druk te zetten kwalitatief goede software mee te leveren.
Pas als de consument zelf 3rd party software installeerd op de telefoon, gaat een deel van de verantwoordelijkheid over op de consument. Google zou wellicht een testservice in het leven kunnen roepen, waarmee bepaalde market apps, een soort 'certified by Google' stempel kunnen krijgen, om de consument te helpen bij het maken van de keuze in de market.
HTC installeert daarbij ook nog eens een groot scala aan apps, die je ook niet kunt verwijderen. HTC Hub hier, Amazon daar, aandelen zus en zo.
De standaard telefoon wel, die van mij is geroot en dan kun je allemaal die meuk weggooien. Echter ben ik dan ook weer geen standaard gebruiker en de meeste zijn dat toch wel..
De standaard telefoon wel, die van mij is geroot en dan kun je allemaal die meuk weggooien.
Dat zou niet nodig moeten zijn. Fabrikanten moeten gewoon eens kappen met puinzooi te installeren op computers en telefoons.
zullen daar geen knaken achter zitten? misschien strijken ze er wel aardig wat geld mee op
Het installeren nog aan toe, maar dat ze het dan als gewone app installeren
kan je teminste die meuk eraf gooien
Het meest irritante is dus dat juist HTC heel erg snel stopt met het bijwerken van de software voor een bepaald model. Heb je dus een HTC van een half jaar of ouder dan is de kan best groot dat eventuele lekken niet meer (door HTC althans) gerepareerd worden. Juist de kwetsbaarheid van Android (net zoals bv Windows) maakt dat updates uitermate belangrijk zijn om de veiligheidslekken adequaat op te kunnen lossen.
Dat is incorrect. Mijn HTC Desire HD van vorig jaar december heeft bijvoorbeeld een paar dagen geleden nog een update gekregen.
Zo te zien lijkt vooral HTC slordig om te gaan met voorgeinstalleerde applicaties. Sluit weer goed aan met het hele Carrier IQ verhaal bij hun.
Vooral de HTC EVO 4G E
Android lijkt wel het malware-platform van de toekomst. Meest gebruikt, open systeem met veel applicaties die ieder fouten kunnen bevatten, handheld als plek waar veel informatie samenkomt (banking ook in de toekomst) en waar het lastig aan beveiliging te doen is.

Geldt in delen ook voor de andere smartphones, dus geen flameware intended. Bedoel meer dat ik een verschuiving zie van aanvallen op je privegegevens van PC naar mobiel en van internet (van malware naar phishing) naar applicaties (gaten in apps met permissies). De keuze voor Android ligt dan voor de hand. Ik zou ook eerder Android aanvallen dan Apple of Blackberry.

[Reactie gewijzigd door paknaald op 2 december 2011 09:48]

maar omdat het ook open is kunnen ontwikkelaars dit soort fouten makkelijker aan het licht brengen. Het zou best kunnen dat bij een ander OS dit soort problemen ook voorkomen, maar dat ze daar simpelweg niet onderzocht kunnen worden.
Je hebt gelijk hoor. Security by obscurity kan wellicht wat aanvallen voorkomen, maar maakt het oplossen van problemen als ze optreden ook veel lastiger. Wat dat betreft zal de 'core' van Android wel veilig zijn. Maar het is nu eenmaal zo gemakkelijk om voor Android een lousy app in elkaar te draaien. Heb mijn post wat aangepast om de discussie van Android wat breder te trekken.
Inderdaad, android en dus linux is op het GSM platform kunnen doorbreken, wat het op het desktop platform (nog) niet heeft kunnen doen.

Moest dit wel het geval zijn en bvb iedereen massaal op Linux zitten (ubuntu distro's ed), dan zou dat ook een target worden voor malwarebouwers en zouden er ook security lekken aan het licht komen.

Het leuke is dat de community deze echter kan opvangen, dankzij het open platform.
Het leuke is dat de community deze echter kan opvangen, dankzij het open platform.
Ik heb niet veel vertrouwen in 'de community' als het gaat om beveiliging.

99% van de gebruikers gebruikt gewoon de software die door de fabrikant geleverd word en daar heeft de community heel weinig mee te maken. De community kan bijvoorbeeld aan dit probleem weinig doen behalve kwaad zijn op de fabrikanten. Net zo kwaad als gebruikers van een gesloten software omgeving zouden zijn.
Oh leuk dat ik achteraf altijd kan horen dat dit soort dingen erin zitten. Ja, echt, een groot voordeel voor open in jouw uitleg.
Als ik het goed lees is de kop eigenlijk verkeerd, die rechten zijn er wel, alleen gebruikt de malafide app een goed gekeurde app om zijn kwade dingen te doen, dus niet een android kwaal, maar een gebrekkige beveiliging door de app zelf, ik neem aan dat ditzelfde ook kan gebeuren op andere os-en.
Geen idee welke? Blackberry staat het niet toe om extra apps standaard te installeren. Apple laat het niet toe op iOS en Microsoft laat het niet toe op Windows Phone..

Dus ik denk dat het niet kan voorkomen op andere os-en..
Android zit nog vol met dit soort dingen, maar er wordt hard aan gewerkt. het zal stapje bij beetje een steeds beter besturingssysteem worden. ik heb al meegemaakt dat ik popups kreeg gewoon bij het drukken op de home toets om naar het homescreen te gaan. een reset was voldoende om het te verwijderen. heb ook al verhalen gelezen van mensen waarbij het toesten met android onopgemerkt smsjes ging verzenden zo'n 9 per sec. bracht een aardige rekening met zich mee. het gebruik van een virusscanner op je toestel is dan ook geen overbodige luxe, er zijn gratis scanners in de market te vinden. nu moet ik wel zeggen dat ik niet alles via de officiele market binnenhaal. dit is vooral te wijten aan het feit dat ik alleen apps kan kopen met behulp van een creditcard. als er betaald kon worden met bijv I-deal of Paypal dan zijn er toch enkele apps die mijn support wel krijgen.

Ben benieuwd of er nu ook updates komen voor oudere toestellen. die deze "leaks" dichten.
Ik heb bij mijn HTC Desire al even geen updates meer mogen ontvangen.
Terwijl android en de Sense skin van HTC zelf toch ook nog mankementen vertonen.
Ik moet toch nog een jaar met m'n toestel doen, jammer dat de support na een aantal jaar niet meer aanwezig is bij HTC.

[Reactie gewijzigd door Aeromaxx op 2 december 2011 10:41]

Probleem van Android vind ik dat de applicaties zelf mogen bepalen welke rechten ze nodig hebben en je mag alleen ja of nee zeggen over de installatie van de hele app en niets over de individuele rechten.

Volgens mij kan je bij bijvoorbeeld Symbian zelf bepalen of je een app bepaalde rechten op je phone geeft of niet. Dit is veel beter naar mijn idee.

Ik ga binnekort maar mijn telefoon rooten en applicaties installeren om zelf firewall en applicatie rechten te bepalen want zoals het nu is echt belachelijk. Ik mag niet eens bepalen welke applicaties wel of niet zelf opstarten.

Slecht rechten systeem naar mijn idee waar Android snel wat aan moet doen want anders zou het platform ten onder kunnen gaan door security/privacy issues.
@JinZa: klinkt leuk, maar het bepalen van toegang per indivudueel recht zal rechtstreeks ingrijpen in de werking van de app. Het afwijzen van ÚÚn of twee rechten in een rij van 5 zal er m.i. toe leiden dat de app instabiel gaat worden, zal crashen of simpelweg niet meer opstart. Je kan immers niet inschatten wanneer de app de rechten aanspreekt of een toetsing op die rechten doet.
Je kan immers niet inschatten wanneer de app de rechten aanspreekt of een toetsing op die rechten doet.

Kan je opzich wel inschatten. Bij iOS bijvoorbeeld hoef je als gebruiker niet aan te geven welke rechten je nodig hebt. Via de API's wordt hierop automatisch gecontrolleerd.

Wil je de GPS gebruiken dan maakt het systeem hier melding van bij de gebruiker. Maar de ontwikkelaar hoeft nergens via een policy aan te geven dat je de GPS wilt gebruik.

Als de gebruiker vervolgens afwijst dan krijgt de applicatie hiervan een notificatie dat het niet kan. Dan dient de applicatie daar fatsoenlijke afhandeling voor te maken.
Probleem van Android vind ik dat de applicaties zelf mogen bepalen welke rechten ze nodig hebben en je mag alleen ja of nee zeggen over de installatie van de hele app en niets over de individuele rechten.
Onzin je kan opties instellen bij geavanceerd.
Volgens mij kan je bij bijvoorbeeld Symbian zelf bepalen of je een app bepaalde rechten op je phone geeft of niet. Dit is veel beter naar mijn idee.
Android ook.
Ik ga binnekort maar mijn telefoon rooten en applicaties installeren om zelf firewall en applicatie rechten te bepalen want zoals het nu is echt belachelijk. Ik mag niet eens bepalen welke applicaties wel of niet zelf opstarten.

Slecht rechten systeem naar mijn idee waar Android snel wat aan moet doen want anders zou het platform ten onder kunnen gaan door security/privacy issues.
iks houd je tegen te rooten.. Je phone zal ook soepeler lopen zonder die crapware van de provider.. Is niet Android zn schuld
Malware krijgt zonder toestemming toegang
Dat lijkt me nogal logisch, anders was er weinig malware aan. 8)7
Iedereen roept ook malware als een app wel gewoon rechten vraagt hoor :)

Dus nee malware is niet enkel malware als er geen toestemming is...
Misschien moeten ze Android eerst nog eens wat veiliger maken. Hoe vaak is het nou al niet voorgekomen dat er malware is gevonden op Android?

Dat is toch de voornaamste reden dat ik geen Android phone heb, terwijl het toch vrij goede telefoons zijn. Maar ik hoef geen virus magneet op mijn telefoon.
Android is niet minder veilig door dit artikel, apps van 3de (de provider/fabrikant) wel :)

Zijn snelwegen onveilig? Nee de mensen OP de snelwegen ;)

maar dan koop je toch lekker een andere telefoon, malware is echt niet enkel voor Android weggelegd en dit is de eerste melding van malware die iets doet zonder dat jij als gebruiker rechten voor die actie toekent... Alle andere malware vraagt netjes of ze je SMSjes mogen lezen, als je dan nog zo dom bent om het te installeren, verdien je het in mijn ogen dan ook (een ezel stoot zich als het goed is geen 2 keer dus ik zie het als een wijze les) :)

[Reactie gewijzigd door watercoolertje op 2 december 2011 10:18]

Theoretisch gezien : inderdaad. Android zelf is niet erg onveilig, maar apps kunnen dat wel zijn.

Het probleem is dat voor een normale gebruiker dat onderscheid niet bestaat. Die koopt een telefoon, daar staat Android op plus een hoop uitbreidingen van de telefoonfabrikant en/of de provider. Voor die gebruiker maakt het weinig uit of de fout nu in Android zit of in de apps die eraan zijn toegevoegd; als dit er toe leidt dat andere apps bijvoorbeeld ongevraagd sms-jes kunnen sturen dan is die gebruiker het slachtoffer!
Klopt helemaal natuurlijk :) Maar we zitten op tweakers en ik zie graag dat tweakers dat onderscheidt WEL snappen en dus niet dom moeten roepen dat iets onveilig is...
Android is niet minder veilig door dit artikel, apps van 3de (de provider/fabrikant) wel :)
Zijn snelwegen onveilig? Nee de mensen OP de snelwegen ;)
Dat is wel erg kort door de bocht. Net zoals de overheid zich moet inspannen om snelwegen veilig te maken door snelheidbeperkingen, goed ontwerp etc mag men verwachten dat Android zich inspant om veilig te te zijn. En daarin laat Android steken vallen.

De fabrikant en provider maken er een potje van maar Android maakt het mogelijk, nietwaar? In dit soort zaken moet je altijd vergelijken met andere vergelijkbare systemen. De gemiddelde gebruiker maakt het geen zier uit hoe open Android of hoe gesloten iOs is maar het maakt hem wel uit als er iets onveilig is. En dat vergelijk laat zien dat Google hier met spoed (meer?) aandacht aan moet schenken.
Misschien moeten ze Android eerst nog eens wat veiliger maken. Hoe vaak is het nou al niet voorgekomen dat er malware is gevonden op Android?

Dat is toch de voornaamste reden dat ik geen Android phone heb, terwijl het toch vrij goede telefoons zijn. Maar ik hoef geen virus magneet op mijn telefoon.
Muah, valt wel mee, er komen heus wel obscure windows phone apps hoor als WP ooit de polulairiteit zoals android heeft krijgt ;)

Even uit mn oude boek. Een virus schrijver zal een virus schrijven zodat ie de meeste spreidings kans heeft... Hey dat is Android!

Net zoals bij het besturings systeem Microsoft Windows die bezit 99% market share dus waar gaan de virus schrijvers zich op richten? Nou? Dit vult u maar in Sherlock Holmes ;)
Even uit mn oude boek. Een virus schrijver zal een virus schrijven zodat ie de meeste spreidings kans heeft... Hey dat is Android!
Ik zou anders als virus schrijver eerder een IOS virus maken. Iedereen richt zich op het bestrijden op Android waardoor je op IOS lang "onder de radar" kan blijven. Als je virus lang wil leven moet je vooral niet opvallen. Je verstoppen in een OS waarvan iedereen meent dat het "veilig" is, is dan een slimme zet.
Klopt niet helemaal. iOS ligt juist ook behoorlijk onder vuur. De jailbreak communitie is altijd aktief bezig gaten te vinden. Apple zit daar weer achteraan.
Op zich houdt het gesloten zijn van het OS het juist veiliger, omdat er aktief door de community op wordt gejaagd er fouten in te vinden en daar gebruik van te maken.
[...]
Ik zou anders als virus schrijver eerder een IOS virus maken. Iedereen richt zich op het bestrijden op Android waardoor je op IOS lang "onder de radar" kan blijven. Als je virus lang wil leven moet je vooral niet opvallen. Je verstoppen in een OS waarvan iedereen meent dat het "veilig" is, is dan een slimme zet.
Het gaat om de Market Share, wie de hoogtste market share heeft, daar zal de meeste virussen/spyware/malware/rootkits voor komen...
iOS is de 2de ter wereld Android nog steeds nr 1
Muah, valt wel mee, er komen heus wel obscure windows phone apps hoor als WP ooit de polulairiteit zoals android heeft krijgt
Met het grote verschil dat Windows Phone 7 apps en IOS apps wel gecontroleerd worden voordat ze vrij gegeven worden in de app market.

Laten we IOS als voorbeeld nemen. Die hebben ook best een leuk marktaandeel. Daar hoor je dit soort verhalen niet of nauwelijks. Ik denk dat de openheid van Android niet per definitie een voordeel is.
[...]


Met het grote verschil dat Windows Phone 7 apps en IOS apps wel gecontroleerd worden voordat ze vrij gegeven worden in de app market.

Laten we IOS als voorbeeld nemen. Die hebben ook best een leuk marktaandeel. Daar hoor je dit soort verhalen niet of nauwelijks. Ik denk dat de openheid van Android niet per definitie een voordeel is.
Ht App Store van apple is ook gekraakt.. Zo veilig is het nu ook weer niet bij Apple..
Het gesloten beleid heeft ook zijn nadelen ;)
Duurt langer bugs te vinden maar die zijn er wel degelijk.

edit: fixed typo's

[Reactie gewijzigd door demilord op 2 december 2011 23:08]

Ben het in principe met twee zaken eens:
1. Verkoop van unbranded telefoons zou met wetgeving verplicht moeten worden.
(Dan staat er tenminste geen rotzooi van de provider op).

2. @JinZa heeft een punt v.w.b. de apps. Als je ziet dat soms eenvoudige apps een karrenvracht aan machtigingen hebben en je let niet op..... tja.
Ik kijk in ieder geval wel naar welke machtigingen de app heeft en beslis op grond daarvan of ik de app installeer of niet.
Wat moet een "gewone" gebruiker anders doen!?
Het probleem is dat de beschrijvingen van de rechten die je moet 'opofferen' om van de app gebruik te kunnen maken, laat staan de consequenties daarvan, voor een gemiddelde gebruiker totaal niet duidelijk zijn.

Het leuke bij dit hele systeem (geld overigens ook voor bijvoorbeeld Facebook) is dat tegenwoordig ook data die je van andere personen in je telefoon hebt staan ook weggeeft zonder hun toestemming. Als mijn telefoonnummer dus bij iemand anders in zijn telefoon staat en deze persoon geeft een of andere malware app toegang tot zijn contact personen dan is dus ook mijn prive informatie op straat.

Geen idee of dit te voorkomen is in deze informatie maatschappij. Als ze je gegevens willen hebben kunnen ze er tegenwoordig zo'n beetje altijd aan komen. Dus wat is tegenwoordig het nut om je eigen informatie te beveiligen.
Je hebt zelfd de keuze een unbranded telefoon te kopen of zelf te maken met Android. Troep van de provider staat er mss niet op, maar troep van HTC bijvoorbeeld weer wel.

Juist bij Android heb je de keuze je telefoon helemaal zelf te ontwikkelen (of je er de kennis voor hebt is een tweede).
Je spreekt jezelf tegen. Als je je telefoon helemaal zelf zou kunnen ontwikkelen is Android maar bijzaak.
De kennis waar je het over hebt is geen inhoudelijke technische kennis, maar een opsomming van allerlei hack-achtige oplossingen waardoor je schijnbaar betere maar nooit volledige controle over je telefoon krijgt. Daar zijn zowel Google als de fabrikant voor verantwoordelijk. Die willen je naar advertenties laten kijken, mogelijk bespioneren en laten betalen voor softwaretechniek die er 20 jaar geleden al was.

Ik zou mijn gestripte ARM-targeted FreeBSD kernel wel op mijn telefoon willen draaien. Maar die is vrij van ads en achtergrondprogramma's en daarom zal dat altijd gedwarsboomd worden.
Waarom heeft mijn HTC niet gewoon toegang tot een 'schijfstation' van waar hij elk OS dat voldoet aan de hardware-eisen kan opstarten? Net als bij een PC. Zo moeilijk is dat helemaal niet.
Conclusie: de consument wordt gebonden aan een platform dat vol zit met beperkingen en methoden om geld te verdienen met lucht. Smartphones kunnen hetzelfde als computers. Alleen de snelheid en opslagcapaciteit lopen achter als gevolg van de kleine afmetingen.
Eh, "De app, Woordpecker, werd getest op acht toestellen".

Volgens mij heet de app Woodpecker ;) : "Hackers could trick the apps into recording your phone calls or wiping out your settings, says Jiang, whose team used a tool dubbed "Woodpecker" to detect vulnerabilities." (bron: http://www.networkworld.c...ecker-android-253589.html)
Daarvoor is dit: http://gathering.tweakers...message/37242685#37242685
en hij is al gemeld. nvm

[Reactie gewijzigd door N0 0B op 2 december 2011 10:16]

De meeste mensen beseffen niet dat ze met een smartphone een complete computer in handen hebben net zoals de PC thuis.

Beveiliging staat wat betreft de smartphones nog in de kinderschoenen. Vaak geen firewall of virusscanner of wat dan ook. En dan worden nieuwe phones ook nog eens met een oudere versie van een bepaald besturingssysteem uitgerust met alle problemen van dien.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True