'Malwarebescherming Play Store makkelijk te omzeilen'

Ontwikkelaars kunnen de malwarebescherming van Googles Play Store relatief eenvoudig ontwijken, melden beveiligingsonderzoekers. Applicaties kunnen detecteren dat ze worden gescand door Googles software.

De Bouncer-software van Google scant alle applicaties die worden ingediend bij de Google Play Store en zoekt naar malafide activiteiten. Onderzoekers ontdekten echter dat ze deze bescherming relatief eenvoudig konden omzeilen. De eerste stap was het indienen van een applicatie die 'naar huis belde' en ervoor zorgde dat de onderzoekers op afstand in de gaten konden houden wat er gebeurde op een Android-telefoon.

Zodra die applicatie werd ingediend, konden de onderzoekers bekijken hoe de applicatie werd gescand door de Bouncer-software, vertellen ze tegenover Threatpost. Het blijkt dat Bouncer een qemu-virtual machine gebruikt, waarbinnen applicaties worden getest. Applicaties zouden deze kennis kunnen gebruiken om onder de radar te blijven en pas malafide activiteiten te ontplooien als de software daadwerkelijk op een telefoon draait.

Ook zouden applicaties hun ip-adres kunnen opvragen. Komt dit uit het Google-ip-block, dan zouden ze zich eveneens tot nader order verborgen kunnen houden. Volgens de onderzoekers, Jon Oberheide en Charlie Miller, zijn de problemen moeilijk te verhelpen.

Google heeft Bouncer sinds begin dit jaar in gebruik. Het bedrijf hanteert soepelere toelatingseisen dan Apple met zijn App Store, waardoor malafide applicaties er makkelijker tussendoor kunnen glippen. Bij de App Store worden alle applicaties met de hand getest en beoordeeld, waaronder op 'obscene' inhoud.

Door Joost Schellevis

Redacteur

Feedback • 05-06-2012 17:51 27

05-06-2012 • 17:51

27

Lees meer

Hackers kunnen op afstand remmen uitschakelen op Chrysler-auto's
Hackers kunnen op afstand remmen uitschakelen op Chrysler-auto's Nieuws van 21 juli 2015
Google gaat Android-toestellen scannen op malware
Google gaat Android-toestellen scannen op malware Nieuws van 13 oktober 2012
Google kondigt cadeaubonnen voor de Play Store aan
Google kondigt cadeaubonnen voor de Play Store aan Nieuws van 22 augustus 2012
Google verlaagt dataverbruik bij updates van Android-apps
Google verlaagt dataverbruik bij updates van Android-apps Nieuws van 17 augustus 2012
Google controleert apps Android Market op malware
Google controleert apps Android Market op malware Nieuws van 3 februari 2012
Meer producten en artikelen
Smartphones Privacy Google Android Beveiliging

Reacties (27)

-Moderatie-faq
27
24
14
3
0
3
Wijzig sortering

Sorteer op:

Weergave:
whatevernow 5 juni 2012 22:18
Sja, het model van Apple is veel stricter en daarom vanuit dit malware gezichtspunt beter dan dat van Android. Ik persoonlijk vind echter de prijs die je daarvoor betaalt -je bent als eindgebruiker afhankelijk van hoe Apple ergens over denkt- veel te hoog. Hoe kan iemand van Apple nou bepalen wat ik goed/ongewenst/fout vind? En dan heb ik niet over bloot of geweld..maar over alle 110+ (and counting) voorwaarden die apple stelt. PRINCIPIEEL weiger ik daar afhankelijk van te zijn. En ik niet verwacht dat daar iets aan de kant van apple verandert, en ook niet aan mijn principe :-)....
laadmin @whatevernow6 juni 2012 14:01
Waarom zou Apple wel in staat zijn om malware te detecteren? Ik geloof daar helemaal niets van.
Du7ch Maniac @whatevernow5 juni 2012 22:56
Daarom ben ik op android overgestapt, exact die reden
laadmin 6 juni 2012 13:59
Dit is natuurlijk niet alleen voor de Android Play store zo, maar ook voor de Apple en WP app stores.

Als ze bij Apple en MS uberhaupt al daadwerkelijk iets testen op malware. Bij Apple lijkt me dat eerlijk gezegd niet. Dezelfde Charlie Miller had geen enkel probleem om malware in de App Store te krijgen.
ralfbosz 5 juni 2012 18:01
Ja met de hand checken is een stuk beter:

http://www.pcmag.com/article2/0,2817,2396050,00.asp

Zolang je de broncode niet kan inzien, is niet te zeggen wat een programma precies bij de gebruiker op de telefoon doet...
Verwijderd @ralfbosz5 juni 2012 20:15
ik snap niet waarom je nu naar +2 gaat. Of ben je dit kleine lijstje ook al op iOS tegengekomen ?

Dat er nu een "gnome" project is gestart alleen om die (1200 verschillende!) malware te kunnen detecteren/reduceren is ook geen duidelijk teken begrijp ik.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:14]

BeosBeing @Verwijderd9 juni 2012 10:56
Niet gnome (dat is een desktop-omgeving) maar Malware genome project. Zoek maar eens op wat gEnome betekend, heeft te maken met DNA.
Verwijderd @ralfbosz5 juni 2012 19:18
Met dat verschil dat de maker van de malware altijd geïdentificeerd kan worden bij iOS.
Kapiteiniglo 5 juni 2012 17:58
En dit laat maar weer eens zien dat beide modellen voor- en nadelen hebben.

*woops.. een genuanceerde post in een topic wat straks wss een iOS vs Android flamewar wordt* O-)
blouweKip @Kapiteiniglo5 juni 2012 18:36
Dit probleem kan net zo goed spelen op de app-store (sterker nog, dat is al het geval geweest).

Uiteindelijk is het een kat en muis spel, waarbij je op android het voordeel hebt dat je:

1. kunt zien welke permissies er gevraagd worden: alle"malware" die de laatste tijd in het nieuws komt gebruikt de rechten die door de gebruiker gegeven zijn.

2. de toegang voor applicaties kunt beperken en kunt zien wat ze doen.

Uiteindelijk zal dergelijk misbruik vaak afhankelijk zijn van de gebruiker.
bwerg @blouweKip5 juni 2012 18:50
kunt zien welke permissies er gevraagd worden: alle"malware" die de laatste tijd in het nieuws komt gebruikt de rechten die door de gebruiker gegeven zijn.
En wat is daarvan exact het voordeel? Zo ongeveer elke app vraagt minstens honderd permissies, bij wijze van spreken, en dat heeft bij de gemiddelde gebruiker (en zelfs veel geavanceerde gebruikers) helemaal geen waarde want als een gebruiker die app aan het begin al vertrouwt dan geeft hij die permissies toch wel.

[Reactie gewijzigd door bwerg op 22 juli 2024 16:14]

latka @bwerg5 juni 2012 20:30
Precies, de rechtenstructuur op android is te complex en soms is het volledig onduidelijk waarom een app iets nodig heeft. ABN Amro app bijvoorbeeld wil het recht om te bellen? Why? Het is een internet bankieren app. Dus is dit goed of is het een programma wat een dure 06-lijn gaat bellen. Je weet het pas als je het installeerd.
koelpasta @latka5 juni 2012 21:02
Dus gewoon niet installeren en ABN op de hoogte brengen wat je er aan vindt schelen en dat je het daarom niet gebruikt.

En dan gewoon via een webbrowser internetbankieren.
Ik installeer sowiso geen 'apps' die eigenlijk verkapte websites weergeven.
iceheart @koelpasta5 juni 2012 22:45
Via de ABN app kan ik saldo checken zonder random reader/pas/pincode nodig te hebben.vdat is zeker meerwaarde.
koelpasta @iceheart6 juni 2012 09:12
Als je moet kiezen tussen de meerwaarde van je saldo opvragen en je telefoon veilig houden, wat kies je dan?
Wel appart dat je een speciale code nodig hebt om je saldo te zien. Als het goed is ben je al beveiligd met een usernaam en ww.
Verwijderd @latka6 juni 2012 08:37
Dure 06-lijnen hebben we al sinds de invoering van GSM niet meer (en dat is zo'n 20 jaar geleden....). Je bedoelt waarschijnlijk 090x nummers.
Verwijderd @latka6 juni 2012 14:19
Ja, want de ABN zal een malware app uitbrengen en alle gegevens van hun klanten willen verzamelen en verkopen... En zeker op een OS systeem is het hartstikke slim om als heel groot bedrijf rare achterdeurtjes in je apps te bouwen, want daar komt niemand achter.... En gelukkig kan je in de Play Store ook niet zien of de uitgever een vertrouwde instantie is...

Ik hoop dat je inziet wat ik probeer te zeggen... Een app van een groot betrouwbaar bedrijf dat vanuit de appstore wordt geïnstalleerd, is gewoon betrouwbaar... Of vertrouw je zelf de ABN niet??? Als dat het geval is, waarom heb je er dan een rekening???

Tja, als je een illegaal gedownload chinees spelletje wilt installeren, dan moet je ff opletten... Maar ik neem aan dat jij ook wel begrijpt dat als een simpel spelletje alle mogelijke rechten nodig heeft, dit geen zuivere koffie is...

Bij de weg, de enige reden waarom de ABN AMRO app telefoneer rechten nodig heeft, is omdat je vanuit "Help" rechtstreeks kan bellen met de helpdesk... En zelfs dan wordt nog gevraagd of je dat echt wel wilt...
SaiKoTiK 5 juni 2012 17:57
"Bij de App Store worden alle applicaties met de hand getest en beoordeeld"... en zo wordt duidelijk dat er achter de schermen vanalles gebeurd?
BoringDay @SaiKoTiK5 juni 2012 18:08
Allemaal tools daarvoor. Api's dekken al een boel af
BeosBeing @BoringDay9 juni 2012 10:53
De huidige testmethode is een goede 1e stap. Wat daar al niet door komt hoef je in ieder geval niet met de hand te testen. En als je daarna inderdaad nog met de hand test hoef je met de hand iets minder tests te doen.
DMT 5 juni 2012 18:58
Knap hoor maar zegt dit nou iets over alle controles die bouncer uitvoert?
Kunnen er geen andere checks zijn waardoor kwaadaardige code aan het licht komt?

Oh ja, dan hebben we nog het overzicht van rechten die je allemaal toekent wanneer je een app installeert. Het gaat om het gehele plaatje aan maatregelen. Niet alleen om Bouncer.

Apple controleert misschien handmatig maar wanneer iets verstopt zit, dan kan je dat handmatig toch ook niet zien?
Wanneer je zorgt dat je hidden activiteiten na een bepaalde datum actief worden dan ben je toch ook al voorbij de Apple check? Tussen aanbieden en in de Appstore plaatsen zit zo'n week of 3-4. Als je kwaadaardige functies dan na die datum actief worden....
Datum check je even bij een timeserver op intnet...
boratnl 5 juni 2012 19:01
Maar kan de software op die manier er ook voor zorgen dat het toegang krijgt tot delen van de telefoon, die het in de market verklaart niet te kunnen krijgen. Als dat niet het geval is, kan de gebruiker door zelf op te letten welke rechten elke app gaat krijgen ook al een boel beschermen.
robvanwijk
5 juni 2012 22:36
De eerste stap was het indienen van een applicatie die 'naar huis belde'
(..)
Het blijkt dat Bouncer een qemu-virtual machine gebruikt, waarbinnen applicaties worden getest. Applicaties zouden deze kennis kunnen gebruiken om onder de radar te blijven en pas malafide activiteiten te ontplooien als de software daadwerkelijk op een telefoon draait.
(..)
Ook zouden applicaties hun ip-adres kunnen opvragen. Komt dit uit het Google-ip-block, dan zouden ze zich eveneens tot nader order verborgen kunnen houden.
Waarom zo moeilijk?? Maak gewoon een programma dat bij elke keer opstarten eerst even naar huis belt en gewoon van de server te horen krijgt wat ie moet doen: "fake dat je lief bent", "be evil". Als je in dat request ook even de huidige versie meestuurt (kun je het meteen vermommen als een update-checker) dan weet de server precies wat ie moet vertellen: een versie die nog niet is goedgekeurd: laat hem zich maar netjes gedragen; een versie die al wel is goedgekeurd: doe alles waar je zin in hebt.
segascope 5 juni 2012 17:57
Mooi dat dit bloot gelegd word, zo kan het sneller worden aangepakt. :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq