Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 67 reacties

Beveiligingsfirma FireEye waarschuwt voor beveiligingsgaten in de InMobi-bibliotheek die wordt gebruikt voor het tonen van advertenties in duizenden Android-apps. Http-verkeer van InMobi zou via een man-in-the-middle-aanval van kwaadaardige JavaScript-code voorzien kunnen worden.

Volgens FireEye is het via de zogeheten webview van InMobi mogelijk tal van JavaScript-opdrachten uit te voeren die een smartphone zonder tussenkomst van de gebruiker een telefoongesprek kan laten opzetten of een sms kan laten versturen. Ook kan de gallery worden geopend en een foto worden genomen. Deze features zijn mogelijk in Android 4.1 en lager; in hogere versies heeft Google aanpassingen doorgevoerd om de mogelijkheden van deze zogeheten @JavaScriptInterface te beperken.

InMobiOmdat InMobi niet alleen toegang biedt tot deze potentieel gevaarlijke features maar tevens zijn verkeer onversleuteld via http naar mobieltjes en tablets stuurt, leent de InMobi-bibliotheek zich volgens FireEye goed voor een man-in-the-middle-aanval. Daarbij zou de aanvaller kwaadaardige JavaScript-code aan het http-verkeer kunnen toevoegen en zo ongemerkt een toestel dure telefoonnummers laten bellen.

InMobi is door de beveiligingsfirma op de hoogte gebracht van het veiligheidsprobleem en het advertentiebedrijf heeft een nieuwe versie van zijn library uitgebracht. Desondanks heeft FireEye meer dan tweeduizend apps op Google Play gevonden die gebruik maken van deze bibliotheek. Elk van deze apps zou gemiddeld 100.000 keer gedownload zijn, waarmee er in totaal ruim 2,5 miljard potentieel kwetsbare downloads zijn te noteren, becijfert FireEye.

Moderatie-faq Wijzig weergave

Reacties (67)

Maar even voor de duidelijkheid: hier hoeft de app dus geen toestemmingen voor te hebben?
Dat lijkt me juist van wel. Het zou wel apart zijn als een app niet bij de smsjes kan komen, maar de advertentie plug-in binnen die app wel.
De app moet hier wel toestemming voor hebben:
"For example, by leveraging the sidedoors, if the app has the right permission (CALL_PHONE), an attacker could make phone calls, including to premium numbers, on the device without user consent.
"
Wat voor toestemming zou je dan krijgen?

"Applicatie XYZ wilt toestemming hebben om een man-in-the-middle attack accepteren?"
[Akkoord] [Annuleren]
:)
In licht van de bovenstaande antwoorden is mijn vraag beantwoord...

[Reactie gewijzigd door ronaldmathies op 27 november 2013 15:04]

Dus in principe maar op 2 manieren te krijgen, of InMobi zelf wordt gehacked en krijgt de javascript injectie, of je moet via een malafiede wifi-verbinding werken? Of hebben apps zelf ook mogelijkheid om inhoud van advertenties te beinvloeden?
Wat is dat toch met die advertentie netwerken...
Hoe vaak een hack/trojan of wat dan ook via een adserver wordt 'uitgerold' is naar mijn idee veel te hoog. En dan te bedenken dat de achterliggende belangen voldoende kapitaal in huis hebben voor wel een goede oplossing.

Bedrijven die adverteren zouden hier ook meer aandacht aan moeten besteden.
Verhalen als: 'ik kreeg een advertentie van bedrijf X en nu zit ik met de gebakken peren' zijn naar mijn idee niet wenselijk.

Dat men uiteindelijk overstapt op adblockers lijkt mij een natuurlijk gevolg van 'actie-reactie'.
Lijkt mij ook dat Google het niet wenselijk vindt dat dit soort problemen hun verdienmodel 'onder druk zet'. Ze moeten snel met een goede oplossing komen, en dan graag een oplossing waarin ik ook kan aangeven dat ik een advertentie of bedrijf nooit meer wil zien. (bijvoorbeeld via het duffe like/unlike model)

Als een goede oplossing achterblijft, verwacht ik zeker een trend naar 'proxy's' die automatisch alle ongein van dit soort partijen afvangen. (maar dan uiteraard wel eentje die niet in America draait en ook geen gegevens logt!).
En ja, dat wordt waarschijnlijk killing voor de 'community'...
Waarom is de titel "adware"? Wat wordt hiermee bedoeld? Is het niet gewoon "Ads"? Adware klinkt alsof inmobi zelf dubieuze content verspreidt, wat niet t geval is.
En daarom dus altijd root gebruiken en bv http://adfree.bigtincan.com/
Stond altijd in de market, maar mocht niet meer van google, omdat ze dan inkomsten verliezen ;)

Persoonlijk block ik al jaren reclame overal waar kan, omdat er teveel risico zit door besmetting, zorgt veel overhead, pagina's die incorrect worden weergegeven, irritant geluid uit reclames, langere loadtimes, etc

Maar je kan natuurlijk ook gewoon een andere DNS instellen, dat alles al wegfiltert.
LBE Security Master heeft een scanner voor adware in apps en de mogelijkheid ze gericht te blokkeren. Ik gebruik het icm Adfree Android, erg blij mee :) .
Wederom een goede reden om een adblocker te gebruiken.
Lekker dan het zal je maar gebeuren dat je een hoge rekeing krijgt door zo'n fout.
Wederom een goede reden om een adblocker te gebruiken.
Heb je die dan voor android?
zie deze link: https://adblockplus.org/en/android-about

Dus gelijk antwoord, ja er is adblock voor android :D

[Reactie gewijzigd door Godgeneral16 op 27 november 2013 14:26]

En gelijk de reden waarom Google Enterprise moet ingrijpen.
On non-rooted devices running Android 4.1.2, 4.2.1 and higher, Adblock Plus will filter all WiFi traffic, but it needs to be configured as a proxy server manually. Detailed instructions are provided by Adblock Plus for not experienced users.
95% Haakt hier af.
idd je hebt root nodig en voor de massa is dat te moeilijk.

Probleem is dat google geen adblocker wenst en addblocker plus ook niet meer in de platystore te krijgen is.

Het lijkt me dat google hier een probleem heeft. Zonder root geen blocker en google wil niets doen. Lijkt me dat als je in de usa een hoge rekening krijgt je google aansprakelijk zou kunnen stellen.
idd je hebt root nodig en voor de massa is dat te moeilijk.
On non-rooted devices running Android 4.1.2, 4.2.1 and higher, Adblock Plus will filter all WiFi traffic
Geen root nodig dus!
Mogelijk wel dat je de blocker buiten de playstore om moet installeren.

[Reactie gewijzigd door airell op 27 november 2013 15:01]

Enkel filtering via WIFI dan en moet je een proxy instellen, die tekst heb je eraf geknipt.

Dan is root veel makkelijker om toe te passen en duurt maar een minuut dan een extra pc te draaien voor die proxy en als je op de baan bent, krijg je alle ads toch nog of je moet dan ook nog een wat gaan portforwarden en surfen via je trage upload van je internet thuis.
waar haal jij die extra pc vandaan?
die proxy server draait gewoon in je telefoon zelf, dus tenzij je werk eist dat je hun proxy server gebruikt kan je gewoon snel internetten.

de enige vertraging die je hebt is de tijd die nodig is om het verkeer naar 127.0.0.1 te stuiteren.
maar je moet alleen wel even voor al je opgeslagen netwerken 127.0.0.1 als proxy server instellen.
Het is dubbel.

Of je toestel moet geroot zijn,
of je moet een proxy instellen.

Vraag in je omgeving wat een proxy is ;) laat staan dat ze weten hoe ze het moeten instellen. WiFi is voor volksstammen al problematisch om die correct in te stellen.

En de reden waarom ik router aanhaal is omdat vrijwel alle moderne routers met soortgelijke lijsten werken waarbij je dus op alle aangesloten devices een heel stuk minder last van ongewenste reclame.
Hier zou je misschien je telefoonfabrikant aansprakelijk kunnen stellen? Jouw telefoonrekening stijgt namelijk door een fout in de software op hun telefoon.
Deze site heet niet voor niets Tweakers.net. Sowieso zullen er vast genoeg tutorials op internet te vinden zijn waarin stap voor stap uitgelegd wat je moet doen.
mensen hier op Tweakers zullen het wel snappen inderdaad.
Maar de miljoenen minder technisch aangelegd mensen die vooral een Android toestel hebben omdat het simpelweg goedkoper is dan de concurrentie zal het niet weten.

Die lopen potentieel dus gevaar.
Leuk dat alles zo open is en dat Tweakers alles wel beseffen en snappen en veel kunnen voorkomen c.q. verhelpen. Maar merendeel van de mensen kan en weet dit niet.
Nu ligt de verkoop van apps al ver achter op iOS, maar als iedereen ook nog eens de enige inkomstenbron van ontwikkelaars gaat blokkeren is het snel afgelopen. Het is dus eigenlijk wel goed dat het wat moeilijker is en de gewone gebruiker dit niet snel zal instellen.
Tja soms vraag ik me dat af met al die battlefield en konsole artikeltjes. Als een proxy instellen al te lastig is.
Er zijn anderen zoals adaway die het zonder proxy doen.
Voor AdAway moet je root hebben toch? Proxy hoeft met addblock niet gezet te worden als je root hebt.
Ja je hebt wel een root nodig. Weet je zeker dat adblock geen proxy nodig heeft als je root hebt?
ja, appje past je hostfile aan.
Dan kan je beter updaten... En uit de apps alle adds eruit halen met Lucky Patcher..

@ 4.4 Kitkat op de Samsung S2 (by Infected, CM11), draait als een zonnetje :D
Het probleem dat ik had met adblocker voor android is dat het laden van websites pokke traag maakt. Ook had ik veel connectie problemen. Die waren allemaal van de baan wanneer ik adblock eraf haalde en de proxy settings teruggezet heb.

Het lastige is dat ik nu bij elke site een banner rond me oren krijg, en niet van die kleintjes, zo van die grote die heel het scherm in beslag nemen en nog een tijdje moeten laden...
Voordat ik mijn een paar maanden terug nieuwe tablet geroot had om het apparaat eerst paar dagen te testen, heb ik Adblock Plus uitgeprobeerd . Liet ongeveer iets meer dan de helft door. I.t.t geroot apparaat met AdAway waar op 99 procent geblokkeerd wordt.

EN. trager browsen met ABP vaak webpagina niet laden en dus refresh nodig.

[Reactie gewijzigd door Juliatan op 27 november 2013 18:58]

Heb je die dan voor android?
http://forum.xda-developers.com/showthread.php?t=2190753

En deze is mijn favoriet :
http://forum.xda-developers.com/showthread.php?t=1916098

wekelijks updates met geblokkeerde malware en zooi-sites
[...]


http://forum.xda-developers.com/showthread.php?t=2190753

En deze is mijn favoriet :
http://forum.xda-developers.com/showthread.php?t=1916098

wekelijks updates met geblokkeerde malware en zooi-sites
Jammer genoeg geen 4.4 ondersteuning.
Maar dit zal niet lang duren denk ik ;)
[...]

Jammer genoeg geen 4.4 ondersteuning.
Maar dit zal niet lang duren denk ik ;)
Op mijn N7000 en Nexus7 (2013) geen issues hoor.
Zolang je maar bereid ben om root toe te passen.

( gebruikers zonder root zouden de signed zip kunnen (laten) installeren met de hosts file ? )
Op mijn Android telefoon met root heb ik AdAway als adblocker.
Wederom een goede reden om een adblocker te gebruiken.
En daarmee weer een reden voor developers om gratis apps te ontwikkelen voor het Android-platform verdwenen.
Alsof alle android-developers dat inkomstenmodel gebruiken.

Er zijn zat developers die 1 gratis, bruikbaar maar gelimiteerde versie van hun app maken en 1 betaalde versie met extra functies.

Er zijn ook apps die een extra dienst van zijn maker (lees: service, geen in-app functionaliteit) tegen betaling leveren.

Leuk voorbeeld is OsmAnd, een navigatie app die gebruik maakt van data van OpenStreetMap.org en vele anderen. Het gebruik van de app is gratis, het gebruik van de data is gratis. Maar als je bijv. voor professioneel gebruik meerdere kaarten erop wilt hebben (de hele wereld i.p.v. enkel een continent naar keuze) of meer talen dan enkel 2 paar naar keuze, zul je je portemonnee moeten trekken.
[...]
En daarmee weer een reden voor developers om gratis apps te ontwikkelen voor het Android-platform verdwenen.
Of de ontwikkelaar gaat niet in zee met betreffende ad-provider ?
Er zijn ook developers die het gewoon gratis doen. Gewoon gratis gratis. Net als vroeger, en net als in de opensource wereld. Waarom nu ineens alles ad-supported moet zijn, vind ik raar.

Ik ben van mening dat als advertenties je primaire bron van inkomsten is, het tijd om je leven eens te re-evalueren. Je hebt een appje op een eindig platform, dat advertenties op het scherm kwakt waar jij 0 controle over hebt, waar de meeste gebruikers helemaal geen bhoefte aan hebben, en waarvan je de achterliggende dienst maar moet vertrouwen dat ze je betalen wat ze zeggen dat ze je verschuldigd zijn.

[Reactie gewijzigd door _Thanatos_ op 28 november 2013 02:17]

Er bestaan geen gratis apps. Bij zogenaamd gratis apps betaal je op meerdere manieren 1) extra dataverkeer, 2) je privacy, 3) extra vaak batterij opladen en 4) irritante reclames op het scherm waar ook nuttige content had kunnen staan. Persoonlijk betaal ik liever eenmalig 2-3 euro.
Wederom een goede reden om een adblocker te gebruiken.
Eigenlijk niet. Je kan beter de autorisaties van je apps goedzetten. Een spelletje hoeft niet te kunnen bellen/smssen, en een filemanager hoeft je locatie niet te weten.
Dus als je Android 4.3 of hoger hebt even App Ops starten en een paar minuten autorisaties aanpassen.
De developer krijgt zijn inkomsten dus blijft ontwikkelen, en jij bent veilig(er).
Das fijn! 2,3% (Zal ondertussen iets meer zijn, eerlijk is eerlijk) kan dat dus. Niet echt een goede oplossing dus.

Bron
http://developer.android.com/about/dashboards/index.html
Mooi, dan kunnen die paar tweakers die onder de paar procent die 4.3+ hebben dat gaan doen.

Nu de overige 99% van de smartphone gebruikers nog die of een oudere versie draaien, of geen idee hebben wat "een paar minuten autorisaties aanpassen in App Ops" inhoudt.
Gunstig, App Ops is vandaag in de aanbieding, 60% off
1.46¤ black friday korting.
Of je gebruikt App Ops Starter, die is gratis en werkt. App Ops is een onderdeel van Android, waarom betalen voor een linkje?
Eigenlijk voor hetgeen hier besproken wordt.

Ik wil best een kleine vergoeding betalen voor een mooie app.
Onzin apps blokkeer ik (reclame) , maar iets wat ik regelmatig ( wil / kan ) gebruiken betaal ik wel voor
Dat is net zo'n redenatie als zeggen dat je Windows niet moet gebruiken omdat er een lek in Flash zit. Beetje jammer, dit soort reacties.
Nee, de redenering word dan:

"Je moet Windows niet gebruiken omdat 2000 applicaties in de Windows Store die 2,5 miljard keer geinstalleerd zijn en flash ge-embedded hebben een lek hebben"

[Reactie gewijzigd door ronaldmathies op 27 november 2013 14:58]

Ja, en die is net zo krom.
Want android is verantwoordelijk voor een fout van een ander bedrijf?
Omdat InMobi niet alleen toegang biedt tot deze potentieel gevaarlijke features maar tevens zijn verkeer onversleuteld via http naar mobieltjes en tablets stuurt
Volgens mij heeft android juist met een update dit vanuit hun kant verholpen
Deze features zijn mogelijk in Android 4.1 en lager; in hogere versies heeft Google aanpassingen doorgevoerd om de mogelijkheden van deze zogeheten @JavaScriptInterface te beperken

Dus geen reden voor jou "flame" ;)
Want androidGoogle is verantwoordelijk voor een fout van een ander bedrijf?
In principe niet, maar dit is automatisch het gevaar voor een wat "opener" platform dan bijvoorbeeld iOS.

Gezien de kwetsbaarheden zal het Google niet misstaan om haar Appstore iets meer dicht te timmeren. Hiermee bedoel ik dat apps gewoon goed gechecked worden zoals bij de Apple wel het geval is.

En 3rd party advertentie aanbieders gewoon niet toelaten in Android apps, lijkt me simpel. Gewoon alleen je eigen advertenties aanbieden.. (zoals bijv. het iAd programma)
Dat laatste zal Google maar al te graag willen denk ik :)

Voor iOS mag je ook verschillende advertentie platformen gebruiken. Er is alleen 1 klein verschil, je mag maar één web engine gebruiken en dat is die van Apple. En laat Inmobi nu ook een library hebben voor iOS, maar dit probleem niet kennen op iOS vanwege het alleen maar toelaten van één engine dit compleet afgeschermt is van de rest van iOS.

[Reactie gewijzigd door ronaldmathies op 27 november 2013 15:02]

En 3rd party advertentie aanbieders gewoon niet toelaten in Android apps, lijkt me simpel. Gewoon alleen je eigen advertenties aanbieden.. (zoals bijv. het iAd programma)
Dat zou voor ms/apple weer een excuus zijn om bij de EU of de DoJ te gaan klagen lijkt me.
Overigens komen dit soort zaken ook op windows voor en dat is een compleet gesloten platform dus openheid heeft wat dat betreft nauwelijks correlatie met dit soort situaties.
Android->google->advertentie platform.
Tja het is idd niet direct de fout van android, maar zulke fouten zullen gewoon sneller voorkomen bij android aangezien advertenties een stuk belangrijker zijn voor hun(google).
Min of meer, android liet de lek ook toe, google heeft het niet voor niks nu verder dicht getimmerd vonden het dus ook iets te ver openliggen, dat software fout maakt moet nog niet voor zorgen dat in sandbox systeem ineens kwaadwillende code kan uitvoeren, dat is epic fail natuurlijk. Sandbox systemen behoren gewoon veilig te werken ongeacht te code de erin draait en hoeveel fouten die code ook uitvoert, dat ineens andere kritische delen van systeem toegankelijk worden is echt wel fout.

Maar fout maken kan gebeuren, hoe bedrijf ermee omgaat onderscheid je van de rest, google heeft het zich aangetrokken en gefixed, prima zo.

Nu zitten we alleen met het probleem dat bepaalde bedrijven niet of nauwelijks android updates uitbrengen, of maanden later pas wanneer er alweer nieuw android uit is komen hun pas met update, in die gevallen zit je dus lekker met onveilige telefoon en ligt buiten je macht om je eigen telefoon te beveiligen met laatste updates.

Iets zegt me dat wel eens groot probleem kan worden in de nabije toekomst als we niet snel manier komt om laatste beveiligingsupdates te installeren op android systemen zodra ze uitkomen.
Je krijgt een hoop -1's maar Android apps draaien voornamelijk op het advertentie model. Bij iOS zie je dat er veel meer apps worden verkocht dan bij Android.
Want voor iOS of noem maar een willekeurig ander OS kan ik geen software of API schrijven die vol lekken zit? Weer een reden om helemaal geen elektronica te gebruiken, zul je bedoelen.
Android heeft toch auto-update? Dus er wordt een hoop kabaal gemaakt om niks. De appdeveloper hoeft alleen maar de oude library te vervangen voor de nieuwe en morgen heb je de update al geinstalleerd.
Ik zie soms wel 2x per week dat een app is geupdate.. in elk geval vaak genoeg (te vaak naar mijn idee).

[Reactie gewijzigd door Jazco2nd op 27 november 2013 14:47]

Op zich wel. Er moeten nu alleen 2000+ app ontwikkelaars actief worden om die update uit te brengen. En maar hopen dat die ontwikkelaars hun versiebeheer op orde hebben, zodat ze ook een update voor de laatste stabiele versie kunnen doen.
Op IOS apps geen of minder reclame? ik Merk juist dat Android minder reclames tonen dan de ios versie.

Dit probleem kan dus ook op Alle systemen voorkomen waar java op draait en reclame door een 3e party worde aangeleverd.

[Reactie gewijzigd door Master_duck op 27 november 2013 15:10]

De gratis apps ontlopen elkaar niet zo, alleen denk ik dat de weg die de add's afleggen bij IOS iets meer gecontroleerd zijn ( qua schadelijkheid )

Alleen vind ik sommige IOS-apps wel heel intrusive, fullscreen en met geluid, die ben ik op Android nog niet ( vaak) tegengekomen
Gewoon betaalde versies downloaden tadaa probleem opgelost.

Er komen simpelweg geen adds op mijn devices zodra ik een app met adds zie pleur ik m eraf.
Betaalde apps met reclame zijn er anders óók (zie Rovio)

[Reactie gewijzigd door born4trance op 28 november 2013 20:50]

De betalde versie heeft juiste geen adds waarom zou je anders betalen?

De hele reden achter adds is om het 'gratis' aan te kunnen bieden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True