Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 105 reacties

In de Play Store is een app verschenen die Android-gebruikers berichten via Apples iMessage laat ontvangen en verzenden. De niet-officiele app werkt zoals geadverteerd, maar er zijn vraagtekens op gebied van privacy bij de functionaliteit te zetten.

De iMessage Chat for Android-app verscheen begin deze maand al stilletjes in de Play Store. Normaal gesproken is het gebruik van iMessages voorbehouden aan Apple-apparaten, maar de app maakt het mogelijk berichten via de dienst via Android-systemen te versturen en te ontvangen. De app werkt naar behoren, zo constateren gebruikers.

Wel waarschuwt onder andere 9to5mac ervoor dat de gebruiker zijn Apple ID en wachtwoord moet invoeren en dat de ontwikkelaar van de app hier dus over kan beschikken en misbruiken. Cydia-ontwikkelaar Jay Freeman en ontwikkelaar Adam Bell onderzochten de werking en constateren dat de app alle communicatie via een in China gesitueerde server laat lopen, die zich aan Apple voordoet als een Mac mini om iMessage-verzoeken te spoofen.

De beheerders kunnen daarmee in potentie alle communicatie onderscheppen, maar bovendien kan de app op de achtergrond andere applicaties downloaden, met alle mogelijkheden voor het binnenhalen van malware van dien, waarschuwt bijvoorbeeld Steven Troughton-Smith. 

iMessages

Moderatie-faq Wijzig weergave

Reacties (105)

Een onofficiele app die je gebuikersgegevens verlangt, je gegevens via een onbekende server laat lopen en waarvan niet bekend is wie er allemaal bij in de communicatie mee kan kijken of wat ze met je gebuikersgegevens doen. Daarbij kan de app het een en ander op je device uitvoeren zonder dat je het doorhebt.
Alle kenmerken van man in the middle software - malware. Niet installeren dus.

[Reactie gewijzigd door kodak op 24 september 2013 13:47]

Volgens Graham Clueley kan hij ook nog op de achtergrond code downloaden. iMessage for Android. Be careful what you trust!.

Zelfs als er nu dus geen malware in zit wil dat niet zeggen dat hij dat niet over een paar weekjes op de achtergrond installeert.
Maar dat kan iedere app, mits je maar genoeg rechten wegwuift.
Daarvoor hoef je geen imessage kloon te maken, dat kan met een leuke live wallpaper al.

Toegegeven, met een imessage client bereik je meer mensen, maargoed.

[Reactie gewijzigd door proatjeboksem op 24 september 2013 14:50]

Inderdaad de kenmerken van een man-in-the-middle, maar het is het niet helemaal; je bent zelf de man in the middle, de communicatie loopt alleen op een bepaald moment geping-ponged via China, maar uiteindelijk altijd via je Android device;

Een bericht sturen gaat ongeveer zo (zie de link naar Sauriks post):

Android => China => Android => Apple => Android => China => Android

Wellicht loont het om deze service weer te reverse engineeren, zodat iemand een client maakt die een bogus login gebruikt om naar China te sturen en die weer vervangt door legitieme login als het weer langs komt op weg naar Apple.

-edit: ik zie trouwens dat de maker zelf op de post van Saurik heeft gereageerd en zegt de source code te zullen releasen: https://plus.google.com/u...0876544/posts/UkgaXa1oa6M

[Reactie gewijzigd door .Johnny op 24 september 2013 15:20]

Dan heb je sourcecode van de android app en weet je nog steeds niet wat ze doen met jou gegevens
Dus de App werkt naar behoren. Misschien eens tijd voor Apple om zoiets voor Android uit te brengen. Lijkt me wel een markt voor en kan Apple ook weer extra aan verdienen. En het zou een serieuze speler kunnen worden. Cross platform apps zijn natuurlijk zeer interessant. Hoewel ik natuurlijk niet verwacht dat Apple dat gaat doen.
Ik weet niet of ze er veel aan zouden verdienen, er is geen directe relatie met welk ander product van Apple.Het is wel een hele berg met Apple id's extra die ze moeten ondersteunen dus potentieel alleen maar een enorme kostenpost.
Aan de andere kant zijn er weer een hoop mensen die kennis gaan maken met iets van Apple, dus wellicht meer potentiele toekomstige klanten. Verdien model zou kunnen zijn een paar euro per jaar terwijl de dienst gratis is op iOS apparaten. Maar zoals gezegd, ik verwacht dat Apple dit niet gaat doen. An sich natuurlijk wel bijzonder dat een Apple dienst geport wordt naar een ander platform ben beniuwd hoelang deze app uiteindelijk nog in de android Playstore zal staan.
Gezien de verkoopcijfers van Apple zal dit niet veel toevoegen. Dus waarom zouden ze er tijd (en dus geld) in steken?

Daarnaast is het ideale model iets waar een onafhankelijke partij diensten levert en niet een leverancier van devices. Pas dan kan het echt platformonafhankelijk worden. Zie bijvoorbeeld Joyn.
Hoe kunnen ze er aan verdienen?? Ik zou het zelf super fijn vinden als ze het zouden doen, daar niet van.. Maar er valt gewoon geen geld te verdienen voor Apple en het is gewoon veel meer gedoe.. Vandaar dat ik toch maar gewoon WhatsApp moet gebruiken..
apple wilt juist dat mensen apple apparaten kopen om gebruik te maken van de faciliteiten, dus zullen ze dat echt niet naar android brengen.
Het is echt van de zotte dat een androidgebruiker nog steeds niet de rechten van een app aan kan passen. Die "accepteer alle rechten of je krijgt de app niet" kan echt niet meer. Google was in Android 4.3 wel met iets bezig, en er zijn alternatieve apps waar je wel weer je toestel voor moet rooten beschikbaar maar dit is gewoon iets wat standaard al lang in het OS had horen te zitten.

Een nadeel van iMessage is dan weer dat je er een username/wachtwoord voor nodig hebt waar je nog heel veel meer kan doen (zoals itunes aankopen) dus die wil je echt nooit gebruiken.
nog een maandje geduld, deze feature werd reeds aangekondigd voor de nieuwe android versie
Het probleem is alleen dat 90% van de gebruikers nog op een oude Android versie draait waardoor ze geen toegang hebben tot deze mogelijkheid.
Het probleem is alleen dat 90% van de gebruikers nog op een oude Android versie draait ...
Zo zeg, dat is wel een heel exact (en hoog) cijfer. heb je dat helemaal zelf uit je duim gezogen, of heeft iemand je daarbij geholpen?

Als je even uit je fantasie wil meestappen in de realiteit, zal je zien dat 45.1% op jellybean zit, en 21.7% op ICS.
bron: http://developer.android.com/about/dashboards/index.html
Rustig aan. Ik heb er inderdaad geen bronvermelding bij gezet omdat ik die 90% niet uit de documentatie heb.

JIj bied wel een bron alleen de verkeerde gegevens. Even correctie :

Froyo 2.2 : 2.4%
Gingerbread 2.3.x : 30.7%
Honeycomb 3.2 : 0.1%
ICS 4.0.x : 21.7%
JellyBean 4.1.x : 36.6%
JellyBean 4.2.x : 8.5%
Bron: http://developer.android.com/about/dashboards/index.html

Iedereen op ICS of lager gaat niet over, dus dat is 54.9%

Van de JellyBean gebruikers zullen waarschijnlijk alleen de mensen op 4.2.x overgaan omdat de mensen op 4.1.x vermoedelijk een telefoon hebben waarop de nieuwe versie niet wordt ondersteunt (Soort HTC Desire HD actie)

Dat is nog eens 36.6% erbij.

Totaal 91,5% die hoogst waarschijnlijk op hun huidige versie blijven en dus niet mogen genieten van de nieuwe functionaliteit van Android.

[Reactie gewijzigd door MuddyMagical op 24 september 2013 19:42]

Iedereen op ICS of lager gaat niet over, dus dat is 54.9%
Daar heb ik geen idee van, ik zal je maar op je blauwe ogen geloven...
Ik weet alleen dat mijn telefoon oorspronkelijk ICS draaide, en nu JB. Dus die gaat wel over? Of juist niet? Ik begrijp de redenering niet zo goed.
Van de JellyBean gebruikers zullen waarschijnlijk ...
Creatieve manier van rekenen...
Eigenlijk zou Google hetzelfde beleid moeten opleggen aan leveranciers van Android devices als wat Apple doet. Dan komen ze eindelijk eens van die oude rommel af.
AUB niet. Dan krijg je uiteindelijk een "nieuwe versie", zonder de features van deze nieuwe versie.
Volgens mij heeft lbe privacyguard geen root nodig, er wordt op mijn geroote Jiayu nooit om supersu toegang gevraagd in ieder geval.
Volgens de makers van LBE wel:

"LBE Privacy Guard requires a ROOTed phone, please make sure your phone has been unlocked and ROOTed."

(zie https://play.google.com/s...m.lbe.security.lite&hl=nl)

Maar het is me wel vaker opgevallen dat rechten niet altijd goed gaan in android. LBE gaf op mijn sgs+ aan dat wordfeud toegang tot mijn locatie wilde, terwijl dat niet in het manifestfile van wordfeud zelf staat. Ik heb het aan alle drie gevraagd, en alleen van wordfeud een reactie gehad dat zij niet om locatiegegevens vroegen. Maar waar de fout precies zit weet ik niet. (en ga ik ook niet meer achter komen, maar dat terzijde)
Je kunt een custom ROM draaien die dit wel mogelijk maakt. De volgende versie maakt dit ook mogelijk.
Of je gebruikt gewoon WhatsApp, ik zie geen reden om andere apps te gebruiken.
iMessage kan je ook op iPad en Macbook/iMac etc. gebruiken. Vind ik persoonlijk wel handig, hoef ik niet steeds m'n telefoon te pakken. Nadeel was altijd dat het alleen voor Apple gebruikers is.. Echter zou ik die app van Android maar niet gebruiken, wat gebeurd er met je gegevens?
Whatsapp is niet te vergelijken met iMessage. Om te beginnen moet je een SIM + MSISDN hebben om het te laten werken.
Ik zou ook zeggen malware + zeer snel de lucht uit met deze publiciteit ?
Je kunt het ook omdraaien: om te kunnen doen wat deze app doet, heb je nou eenmaal die login-gegevens nodig. Als je dus zo nodig moet kunnen iMessagen op je Android-toestel, dan zul je de app-leverancier moeten vertrouwen dat hij je inloggegevens niet misbruikt.

Het feit dat je je login-gegevens moet afstaan, betekent dus niet per definitie dat er misbruik van gemaakt wordt. Maar je kan het natuurlijk niet uitsluiten zonder de app te reverse engineeren...

edit: waarom is dit nu weer -1?

[Reactie gewijzigd door aap op 24 september 2013 15:40]

Het modsysteem hier is idd verschrikkelijk krom. Jouw reactie krijgt een -1, en dan heb je nietszeggende reacties (die geen enkele meerwaarde bieden aan de "discussie") als mokkol in 'nieuws: OnofficiŽle app brengt iMessage naar Android' en mokkol in 'nieuws: OnofficiŽle app brengt iMessage naar Android', en die krijgen dan een +1 !!!

Begrijpen wie begrijpen kan, maar ssst. Niets over zeggen, want dan worden je modrechten afgenomen met de fijne mededeling dat wanneer je op je blote knietjes komt smeken, ze er misschien wel eens over willen nadenken om ze terug te geven.
Dus eh... als ik deze app gebruik, kan iemand in China een man-in-the-middle attack uitvoeren, mijn data lezen en malware op mijn smartphone plaatsen? Dan is die waarschuwing op z'n plaats, lijkt me.

Maar die waarschuwing zie ik nog niet echt bij aankondigingen van en berichten over (nieuwe/hippe/bestaande) cloud-diensten in de USA. Wat is het verschil met wanneer ik gebruik maak van servers in Amerika, afgezien van wat juridische terminologie, een stel stempels en dat Chinese cybermaffia vermoedelijk een minder brede interesse heeft dan de Amerikaanse en Engelse spooks?
Dus eh... als ik deze app gebruik, kan iemand in China een man-in-the-middle attack uitvoeren, mijn data lezen en malware op mijn smartphone plaatsen? Dan is die waarschuwing op z'n plaats, lijkt me.
zo ongeveer...

Zodra je de app gebruikt IS iemand al een man-in-the-middle aan het uitvoeren. En doordat je ZELF zo'n beetje alles hebt opengezet bij het installeren kan hij je data lezen en software (niet noodzakelijk malware) installeren.
Dit zet me wel aan het denken, dus het moet perfect mogelijk zijn een app te maken waarmee je dan verbind naar jezelf thuis, alwaar je een klein progje laat draaien op je iMac/Mini, zodat je alsnog op je android telefoon iMessage kan draaien?
Uiteraard. Maar het zal net zo makkelijk of moeilijk zijn om direct vanaf je telefoon met de servers van Apple te verbinden. Juist daarom is deze app, die via een eigen server loopt, zo verdacht.

UPDATE: volgens wikipedia is iMessage gebaseerd op Apple's APNS protocol, en daar is goede documentatie van beschikbaar. Vermoedelijk is het dus niet eens zo heel veel werk om het protocol van iMessage te ontcijferen.

[Reactie gewijzigd door xnpu op 24 september 2013 17:26]

Om maar even een open deur in te trappen, Ik zou hier geen gebruik van maken. Overigens kan ik me niet inbeelden dat Apple hier gelukkig mee is en ze zullen dit op een of andere manier wel onmogelijk gaan maken.
De beste manier om dit onmogeljk te maken is door naar Google te stappen in iMessage tussen Android en iOS/OSX te laten gebeuren, en het te integreren in de standaard Android message-app. Dat is pas onmogelijk maken!
Dan moet je naar Apple stappen, niet naar Google. iMessage is hartstikke proprietary en de enige die het officiŽel open kan zetten is Apple.

Overigens werkt het wel lekker, zolang je vriendjes ook Apple producten gebruiken. Ietsje beter dan Whatsapp, aangezien je ook gewoon op de desktop berichten kan ontvangen en versturen (en dat synct natuurlijk allemaal met elkaar). Jammer dat we zoiets simpels nog niet hebben dat multi-platform is (ofwel: jammer dat Whatsapp geen desktop client heeft).
Sorry voor de onduidelijkheid: Werbringer hierboven had het over dat Apple het onmogelijk zou maken. Ik bedoelde ook dat dat de beste manier was voor Apple om het onmogelijk te maken, dus ik ben het met je eens. Apple en Google moeten samenwerken om dit soort gezeur te minderen.
is Viber er niet voor IOS?

Of google hangouts?
Nee hoor. Als er te phishen valt laten mensen die fout willen doen dit echt niet na, omdat er toevallig een veilige variant is. Vervolgens zorg je gewoon dat je met je app in het advertentiekader boven de google zoekresultaten komt en een groot deel van de gebruikers denkt dat dat de officiele versie is. Kijk maar eens op consumentenfora die in die advertenties trappen van doorverkoopadressen van concerttickets.
Kortom... niet gebruiken.
Ik zou dus never mijn apple id + wachtwoord (waar mn credit card is opgeslagen) opslaan in een third party app.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True