Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties

Door een foutief updatemechanisme hebben verscheidene gebruikers van Samsung-telefoons met Android een Russische applicatie op hun toestel gekregen. Het blijkt lastig om de app weer te verwijderen, maar het zou niet om malware gaan.

Gebruikers van een Android-smartphone van Samsung lieten onder andere op GoT weten spontaan een Russische app met de naam МТС Мобильная Почта op hun toestel te hebben staan. De applicatie is alleen te deïnstalleren als er roottoegang op de telefoon is; in dat geval moet de Social Hub-app van Samsung worden verwijderd, zo ontdekten enkele gebruikers. Social Hub is een dienst die contactpersonen en bijbehorende communicatie integreert, en is beschikbaar voor verscheidene smartphones van de Koreaanse fabrikant.

Het lijkt erop dat de Russische app op de toestellen is beland doordat het updatemechanisme in Googles applicatiewinkel Play deze als een update zag voor Social Hub. Ontwikkelaar OJSC Mobile Telesystems, die de bewuste Russische software heeft gemaakt, lijkt dezelfde package name voor zijn app te gebruiken als Samsung voor de Social Hub-app. Deze naam, in dit geval com.seven.Z7, wordt gebruikt om applicaties een unieke identifier mee te geven. Er wordt normaal gesproken toestemming gevraagd voordat een update wordt geïnstalleerd, maar het is ook mogelijk om dit automatisch te laten verlopen.

Waarschijnlijk gaat het niet om opzet, maar de foutieve update legt wel een beveiligingslek in de Play-winkel bloot. Als gebruikers het automatisch updaten van apps aan hebben staan, zouden kwaadwillenden door gebruik te maken van identieke app-id's ongemerkt malware kunnen verspreiden. Google heeft nog niet op de situatie gereageerd, maar lijkt de bewuste app wel offline te hebben gehaald.

Update 12:23 uur: Google heeft in een reactie aangegeven dat de Russische app al enige tijd geleden is geblokkeerd. Daardoor zou de applicatie, ondanks dat deze op de telefoons van verscheidene gebruikers verscheen, niet daadwerkelijk zijn geïnstalleerd.

Galaxy S II - Russische app
Moderatie-faq Wijzig weergave

Reacties (90)

Ik heb ook handmatige updates staan, ik kijk liever zelf wat er updates heeft, om het dan zelf te installeren. Dat russische gedoe heb ik dan ook ngo maar even laten staan.

Ik vind het wel vreemd, want zelfs met dezelfde package naam, moet je nog altijd met dezelfde key signen om op de market (play) een update te kunnen voorzien voor een bepaald programma. Als je de key kwijt bent, moet je het uploaden als nieuwe app. Dit juist om zulke fratsen te voorkomen. (De key mag je gewoon lokaal zelf genereren btw).

Misschien dat dit anders is voor de hub, omdat dit een combinatie is van apps of zo (?) maar toch...
De laatste keer dat ik wat probeerde te uploaden naar de android market (ahem, play store) met een generieke package naam kreeg ik een leuke foutmelding te zien dat deze package naam al in gebruik was.

Verder heb jij ook helemaal gelijk, dus dit is inderdaad wel een beetje raar.
Jammer dat de informatie in dit artikel onvolledig is waardoor vrijwel iedereen Google beschimpt. De ontwikkelaar van de app heeft beide apps gemaakt (die van Samsung en van MTS) en heeft ze zowel dezelfde package name gegeven als dezelfde digitale handtekening. Daar kan Google niets aan doen, maar is gewoon dom van de developer. Er is dus ook absoluut geen gevaar geweest aangezien het afkomt van dezelfde developer.

Een developer kan niet gewoon een bestaande app overschrijven van een andere developer door een bestaande package name te gebruiken, want Android vereist dat updates van bestaande apps digitaal ondertekend zijn met hetzelfde certificaat (in feite een public-private key pair) als de voorgaande versie. Dat kun je dus alleen doen als je het certificaat ook daadwerkelijk bezit. Dat is dus gewoon veilig, tenzij de developer z'n certificaat deelt met de hele wereld ... maar elke developer snapt dat dat dom is, en bovendien hamert Google er in de docs ook op dat het belangrijk is dat je dat certificaat veilig opslaat.
Uitermate vreemd, het app-mechanisme van Google zorgt er normaliter voor dat een update voor een bestaande app (of die nou hetzelfde ID heeft of niet) in ieder geval signed moet zijn met dezelfde key als de originele app.

Dat is gewoon een core-onderdeel van Android, en is ook niet uit te schakelen (je moet dan de originele app eerst verwijderen, bijv.)

Laat staan een system app, dan moet deze app al bijna signed zijn met de platform key van Samsung!
Helemaal niet vreemd. Dat noemen we dus een bug. Jij beschrijft hoe het zou moeten werken echter als er iets fout zit in het systeem gaat dat niet meer op. Dat het in theorie goed zou moeten gaan wil niet zeggen dat het in praktijk ook echt zo werkt.
Daar hebben we dan ook unit tests en zo voor....
Unit-tests werken alleen voor de bedachte testcases... Je voorkomt er dus geen denkfouten of slordigheden mee die niet door zo'n case worden gedekt. In het ideale geval worden alle mogelijke cases uit het ontwerp door de tests gedekt, maar als het daar al fout is gegaan heb je er alsnog niets aan.
Als je een update installeert moet het met dezelfde key gesigned zijn. Als hij het echter binnenhaalt via de market met het idee dat het een update is en de installer 'denkt' dat het gewoon een nieuwe app is dan gaat het prima.
Wat een lulkoek, waarom zou de installer 'ineens' denken dat het een nieuwe app is?
Hetzelfde package ID == update, waarna bij installatie/update de certs gewoon worden gechecked.

Nader onderzoek blijkt uit dat com.seven.z7 een whitelabel email services dienst is, die dus door meerdere vendors wordt uitgegeven onder andere namen. Hoogstwaarschijnlijk is dit dus ook de oorzaak voor de certs die 'hetzelfde' zijn.

De fout ligt in een combinatie van dezelfde packagename, dezelfde basisdienst/certs en het feit dat deze update vervolgens in de Play Store staat.

In de basis is er met het update-mechanisme van Google/Android dus niets mis, dit is een meer 'politieke' fout van de verschillende vendors.

Dus ja, het is wel vreemd. Ik zou het dan ook absoluut niet omschrijven als een standaard 'software bug'. Sterker nog, dit mechanisme is by design!

[Reactie gewijzigd door IEF op 27 maart 2012 09:45]

Hoe kan de installer ooit denken dat het een nieuwe app is als er al een app met dezelfde naam op je telefoon staat?
Google play (niet market, maar de nieuwe play) Neemt verantwoordelijheid voor alle apps die op de telefoon staan. Ook als ze via een ander kanaal op de telefoon zijn geinstalleerd. Loskoppelen van een app van google play kan niet.

Dit is dus een bug die er aan zat te komen.

Ook een system app kun je dus via market updaten. Maar ik denk dat het dan een gewone app wordt.
ik had hetzelfde al een half jaar geleden opgemerkt en het doorgegeven op het forum van Androidworld. Toen ook al in de market aangegeven dat het mogelijk malware was. Slecht dat er niks aan gedaan is. Het ligt trouwens aan Samsung Apps, niet aan de Play Store.
heb je het artikel wÚl gelezen? het ligt voor 100% aan google play
Nee. Het ligt aan de ontwikkelaar, die beide emailapplicaties heeft gemaakt. Ze hebben deze namelijk dezelfde naam gegeven Ún met dezelfde handtekening ondertekend. Anders kon de app nooit geŘpdatet worden, hij moet gesigneerd zijn!

Bron.
Klopt niet!

Beide apps zijn gesigneerd met een verschillend certificaat (vandaar ook dat android de ene app niet overschreven heeft met de andere en beide apps aanvaard).

Maar door een FOUT IN ANDROID die niet naar het certificaat maar naar de naam van het pakket kijkt werd app 2 ten onrechte geidentificeerd als update van app2.

M.A.W:
Update check (Android) vind zelfde pakketnaam en identificeert dit als update voor app 1 waarop de app gedownload wordt.

Vervolgens start de installer (ook Android) die het certificaat controleert, dit is in orde en installeert de app.

Deel twee heeft geen weet dat deel 1 de app als een update zag.

Het is dan ook wel degelijk een fout bij Android en niet bij een van de twee apps.
werd bij mij via appbrain als update voor samsung social hub geinstalleerd. reviews gaven daar aan dat het een virus oid is.

[Reactie gewijzigd door Incolumis op 27 maart 2012 10:38]

Hoe kan samsung hier schuld treffen? Is het hun schuld dat de russen hun ap dezelfde ID hebben gegeven? Is het hun schuld dat Google Play de update zomaar doorvoerd? Of dat Google Play blijkbaar niet opmerkt dat 2 devs verschillende apps met dezelfde ID hebben opgenomen? Hoe kan dit Samsungs schuld zijn?
minder nieuws, kan me best voorstellen dat gebruikers die niet weten hoe root toegang te verkrijgen wel eventjes met de vingers in het haar zitten nu.. foei google :9
Heb je nog wel garantie als je je telefoon geroot hebt? En ten tweede, tijdje terug las ik hier een artikel dat geroote toestellen veel vatbaarder zijn voor malware en keyloggers enzo.

Dus Samsung bezitters moeten kiezen tussen 2 kwaden. Lekker dan!
Dit is het leuke in de wet...

Je koopt hardware en je koopt licentiekosten voor de software van een product wat je aanschaft. Je mag met de hardware doen wat je zelf wilt. Als je met je telefoon wilt gaan voetballen, dan doe je dat toch gewoon?

Het aanpassen van de software houdt dus in dat de fabrikant je geen ondersteuning meer hoeft te bieden voor een werkend product qua software. Maar als je telefoon kapot gaat zonder dat het aan de software ligt dan is het aan de fabrikant te bewijzen dat het toestel kapot is gegaan door de gebruiker. Een barst in je scherm is dan vanzelfsprekend dat dit komt door een val of een stoot, maar als je processor kapot gaat is het dus voor de fabrikant, in dit geval Samsung, om te bewijzen dat je deze bijvoorbeeld in het water hebt gehouden of dat je hem hebt overgeclocked.

Je garantie zal dus niet vervallen wanneer je de telefoon root, mits je oplet wat je doet.

PS: Verbeter me indien ik het niet goed heb begrepen en dat het anders is met telefoons als met computers en gameconsoles.
Daar heb je gelijk in. Alleen denken de reparatiebedrijven daar anders over. Heb je root toegang of heb je een andere rom op je telefoon gezet dan gaan ze niet over tot reparatie. Sterker nog ze doen dan helemaal niets meer. Dus het kan heel leuk zo in de wet geregeld zijn. Als de reparatiebedrijven hier niets mee doen, zal er weinig gebeuren. Er zal niemand zijn die voor Ą 500 een rechtzaak aan gaat spannen.
Ps. Overigens is het eenvoudig een andere rom erop te zetten zonder dat dit ontdekt kan worden.
je hebt garantie op de hardware, niet de software lijkt me.
Ik ben niet 100% zeker, maar volgens mij kun je met een geroot Android toestel o.a. ook hardware overklokken. Daarom vervalt de garantie.
Ik ben niet 100% zeker, maar volgens mij kun je met een geroot Android toestel o.a. ook hardware overklokken. Daarom vervalt de garantie.
Dan moet de winkel het aantonen dat je dat heb gedaan en dat je apparaat daardoor kapot is gegaan, winkel is altijd aan zet in zo een geval die moet bewijzen dat de telefoon kapot is gegaan door de gebruikers toedoen.

Root toegang valt daar echt niet onder, geen rede om geen garantie te geven. Of winkel moet kunnen aantonen dat je telefoon door het overklokken kapot is gegaan!

Na al die voorlichtingen weten mensen nog steeds hun rechten niet, overheid geeft toch mogelijkheden zat aan de burgers om dat te kunnen weten anno 2012 dacht ik zo?

[Reactie gewijzigd door mad_max234 op 27 maart 2012 10:45]

Heb je nog wel garantie als je je telefoon geroot hebt?
Wat als je garantie van je pc zou verlopen wanneer je het administrator password hebt ?
Het is geen exacte vergelijking, maar het gaat om de strekking.
[...]

Wat als je garantie van je pc zou verlopen wanneer je het administrator password hebt ?
Het is geen exacte vergelijking, maar het gaat om de strekking.
Als ze dat in de servicevoorwaarden opnemen, dan kan ik me best voor stellen dat je wel garantie kan krijgen als je device kapot is, maar geen support voor als de software gaar is.

Voor ons tweakers is het een burden, maar windows bijvorobeeld is nog nooit zo veilig geweest als sinds de invoering van het UAC...mensen geen root access verlenen kan zo zijn voordelen hebben.
Ik heb gewoon garantie hoor, geroot en wel :) En jij mag het zien als kiezen tussen 2 kwaden, ik zie het als kiezen tussen nog meer vrijheid en redelijke vrijheid, waar bij de meer vrijheid natuurlijk wel de kanttekening geplaats mag worden dat je ZELF meer op moet letten, logisch ook want dat neem je juist uit handen van het OS.

Zolang je weet wat je doet is rooten eigenlijk alleen maar een voordeel. Weet je niet eens wat het inhoudt en heb je wel root access ja dan loop je meer gevaar dan dat je geen root hebt!
minder nieuws, kan me best voorstellen dat gebruikers die niet weten hoe root toegang te verkrijgen wel eventjes met de vingers in het haar zitten nu.. foei google :9
That is, verreweg de meeste gebruikers...
Gigantische fout zeg. Heb per direct automatisch updaten uitgeschakeld.
Gigantische fout zeg. Heb per direct automatisch updaten uitgeschakeld.
Met die datalimieten these days zou ik dat sowieso doen...
Of de setting opzoeken "alleen via WiFi updaten" en aanzetten
Alleen is er daar nog een UI denkfoutje gemaakt... namelijk hij geeft nog steeds update *meldingen* terwijl ik op de telefoonnetwerk zit.

Ik heb zowieso automatische updates uitgezet (want ik wil eerst de update lijst doornemen voor dat ik toestemming geef - uit curiositeit, maar ik heb daardoor ook bijvoorbeeld een app betrapt op het veranderen van rechten om ineens alle contactdetails te willen bewerken - gelijk verwijderd!) . Dan wil ik ook dat hij pas *checkt* naar updates als ik thuis op de WiFi zit en niet (wat tegenwoordig deprimerend regelmatig voorkomt) 's middags door de week terwijl ik werk. Dan moet ik ˛f goed onthouden en 's avonds weer laten checken ˛f toch weer over-the-air laten updaten.

Niet goed doordacht, Android devs! Zucht...


Trouwens - er is ook meer mis met de store vandaag - sinds vanochtend geeft 'ie aan dat er updates zijn voor twee apps die toch up-to-date blijken te zijn. Irritant!

Edit: vreemd, nu zijn er wŔl nieuwere versies beschikbaar!

[Reactie gewijzigd door MossMan op 27 maart 2012 14:22]

Ik heb zowieso automatische updates uitgezet (want ik wil eerst de update lijst doornemen voor dat ik toestemming geef - uit curiositeit, maar ik heb daardoor ook bijvoorbeeld een app betrapt op het veranderen van rechten om ineens alle contactdetails te willen bewerken - gelijk verwijderd!) .
Ik heb automatisch updaten wel aanstaan (ik zit gelukkig nog met een FUP) en de meeste apps die veranderen geen rechten tussen de updates door.

Wil een app dat wel doen, dan werkt de automatische update ook niet meer. Ook de knop bovenaan 'update all' werkt niet meer voor die app. Je krijgt dan alleen een melding dat er een update is. Op het moment dat je hem dan wil updaten kan krijg je opnieuw de rechten te zien met de veranderde rechten in oranje. Dan is het heel gemakkelijk om te zien dat een app andere rechten vraagt.


En OTA controleren of er updates zijn lijkt mij niet zo veel data te kosten en die melding kun je gewoon laten staan tot 's avonds.
Ik heb ook gehad dat een app overging op ad-revenue model... met een systeem die spyware-achtig bleek te zijn. Toen waren er geen rechten veranderd - maar omdat ik daar wat over gelezen had in de release notes ben ik er toch achter gekomen.

Het gaat mij niet zozeer om de datakosten (want meestal laat ik 'm toch telefonisch updaten) maar meer om dat als ik zeg "update op WiFi" dan wil ik dat 'ie ook alleen aan updates denkt als ik op WiFi zit! Het irriteert daardoor een klein beetje als zo'n update melding mijn aandacht trekt - en ik moet toch even nadenken of ik gelijk wil updaten (ben dan een paar minuutjes kwijt) of wachten tot 's nachts (met zo'n gevoel in mijn achterhoofd dat een update op mij zit te wachten).

[Reactie gewijzigd door MossMan op 27 maart 2012 17:42]

Je kunt instellen dat de updates alleen moeten worden ge´nstalleerd als je een wifi verbinding hebt. Dus dan maken die datalimieten niks uit.

Edit @ myself: Anders refresh je even voordat je een reactie plaatst :P

[Reactie gewijzigd door Xof op 27 maart 2012 11:36]

Is Android dan niet multilingual? Bij iOS of zelfs OSX zitten alle talen er gewoon ingebakken. Dezelfde app verandert gewoon van taal als je een andere taal selecteert.
In dit geval gaat het om een app die in het Russisch is gemaakt, daar staat de taal van het os los van.
Zo moeilijk is dat niet vor Google toch om even te kijken of het id al bestaat voordat je gaat vespreiden ?
Als dat een geautomatiseerd systeem is niet, maar als iemand dat stuk voor stuk moet gaan checken bij elke nieuwe app die wordt aangeboden is niet te doen. Het probleem bij geautomatiseerd is dat er een bug in het controlesysteem kan zitten, waardoor dit soort dingen gebeuren.
Dat doen ze, maar de emailapp van Samsung stond niet in de market. Hij was alleen voorge´nstalleerd, daar valt niet op te controleren.
ik kreeg gisteren ook 3 updates, ik klikte meteen op alle bijwerken totdat ik die vreemde naam zag.
gelukkig werkt het annuleren in de play store wel direct :o
dan kijk maar eens bij alle applicaties, daar staat ie ineens al tussen.
daar staat hij niet bij mij.

hij staat echter wel nog steeds bij de updates?
Ik vond het gisteren al zo raar dat dit als update tussen de updates van mijn apps stond. Nooit ge´nstalleerd en ik kon hem alleen maar bijwerken. Heb dat niet gedaan omdat er in de reacties van dat MTC programma ook allemaal mensen waarschuwden dat het een virus was. Gelukkig blijkt het niet zo, maar ben blij dat ik hem niet heb ge´nstalleerd, als het zoveel moeite is om hem eraf te gooien wordt je ook niet blij.
Ik zag hem ook staan en heb hem ook niet ook geinstalleerd. Er staat nog wel steeds bij de melding dat er een update beschikbaar is. In dit bericht staat dat de app door Google is weggehaald maar bij mij is hij dus blijkbaar nog steeds te downloaden (al ga ik het niet proberen :P ). Is de melding bij beschikbare updates niet weg te krijgen?
Gisteren zag ik hem ook verschijnen, maar bewust even niet geupdate.
Ik zie hem echter nog steeds staan, ondanks dat ik hier lees dat hij bij mensen is verdwenen.

Zal dus nog maar even geduld hebben.
even je telefoon herstarten en ze zijn weg
Nope helaas, net gedaan maar hij staat er nog steeds bij.

Edit: heb via instellingen - applicaties beheren de buffer leeggemaakt van de play store, nu is hij wel weg.

[Reactie gewijzigd door JeroenV_ op 27 maart 2012 11:21]

Dank je wel voor de oplossing. Bij mij is die applicatie ook weg nadat ik de cashe van Google play heb gewist ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True