Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 96 reacties

Een beveiligingsbedrijf heeft een vorm van Android-malware ontdekt waarbij een app het telefoonnummer van de gebruiker steelt uit WhatsApp om zich daarmee te abonneren op premium-sms-diensten. De malware is tussen de 300.000 en 1,2 miljoen keer gedownload.

De malware zat volgens Panda Security verstopt in apps in Googles Play Store met onder meer cupcakerecepten en dieettips, en leek daardoor specifiek gericht op vrouwen. De apps gaven een venster weer met een grote Accepteren-knop, met daaronder een venster met onleesbare voorwaarden. In die voorwaarden stond dat de gebruiker akkoord gaat met een abonnement op een premium-sms-dienst.

Die premium-sms-dienst stuurde vervolgens een sms om het abonnement te bevestigen, maar de app onderschepte die, haalde de pincode uit de sms en bevestigde daarmee het abonnement op de site van de dienst. Dat alles gebeurde op de achtergrond, zonder dat de gebruiker iets kon zien.

De apps haalden het telefoonnummer van de gebruiker niet van de simkaart, maar uit chat-app WhatsApp. Daardoor hoefde de app geen toegang tot beldiensten te hebben. De malware is gedownload door tussen de 300.000 en 1,2 miljoen mensen, vermoedelijk vooral Spaanstalige Android-gebruikers. Dat de apps in Play Store verschenen, komt vermoedelijk doordat ze weinig trekken hebben van tot nu toe verschenen malware. De apps vragen immers toestemming voor het afsluiten van het abonnement op sms-diensten. De apps wekten ook weinig argwaan omdat ze honderden tot duizenden beoordelingen kregen met gemiddeld vier sterren. Google heeft de apps inmiddels verwijderd.

Hoewel veel malware gericht is op Android, komen de dreigingen vaak uit apps die niet in Googles Play Store verschijnen. Veelal zit malware in apps op bijvoorbeeld filesharing-sites waarvan gebruikers denken dat het een gekraakte versie is van een betaalde app. Veel malware zit ook in apps voor alternatieve downloadwinkels. Google checkt apps met zijn Bouncer-programma op malware voordat ze in de Play Store komen. Bovendien kan Google apps die gebruikers sideloaden  bij installatie op malware checken.

Android-malware voor sms-fraude Android-malware voor sms-fraude Android-malware voor sms-fraude Android-malware voor sms-fraude
Moderatie-faq Wijzig weergave

Reacties (96)

Het wordt hoog tijd dat de Google de 'permission manager' weer introduceert/activeert.
De vraag is of deze malware hierdoor gestopt zou zijn.
Ik geloof niet dat de vrouwen die cupcake recepten apps downloaden nu echt het publiek is wat zich veel aantrekt van de permissies van apps. Verder had deze app juist geen verdachte permissies nodig omdat ze het nummer uit Whatsapp visten.
Denk niet dat dat hier dus veel geholpen zou hebben.
Verder had deze app juist geen verdachte permissies nodig omdat ze het nummer uit Whatsapp visten.
Als de ene app data kan stelen uit de storage van een andere app, dan is er toch iets mis met het app-systeem, lijkt mij...
Is er geen sprake van isolated storage? Is dat niet een kernidee achter apps? Staat me bij dat dit in iOS en Windows Phone in ieder geval wel zo is...
Is wel zo, maar Whatsapp schrijft elke nacht netjes een backup naar de SD kaart, en de SD is een free for all. Als je leesrechten hebt op de SD, kan je overal bij. De Whatsapp backups zijn encrypted, maar daar ben je ook zo omheen.
Ah ja, dat is het. Met Xprivacy kun je een applicatie toegang tot de sd-kaart ontzeggen. Je hebt wel root nodig.
Kan ook gewoon met Appops... Wat in Android "ingebouwd" zit. (Tis nog een beetje buggy, maar t werkt.)

Heb je geen root voor nodig.
Ja OK, maar App Ops kan veel minder dan Xprivacy. Je kunt bijvoorbeeld niet je locatie spoofen voor Google Maps, wed ik, of je Google Advertising ID spoofen voor applicaties, etc. etc. etc. Maar, tuurlijk, op zich goed dat Google daar eindelijk iets aan doet, en zonder root. Kun je met App Ops ook toegang tot de SD-kaart ontzeggen?

[Reactie gewijzigd door Cerberus_tm op 15 februari 2014 02:06]

Gestopt niet maar het zou minder snel en heftig verspreiden.
Dat hang van de permission manager af. Als het een goede is, zoals Xprivacy, kun je zowel toegang tot de SD-kaart ontzeggen (opdat die app niet bij de gegevens van Whatsapp kan), als toegang tot SMS lezen/sturen ontzeggen. Voor Xprivacy heb je wel root nodig (lijkt me genoeg reden om je telefoon nou eindelijk eens te rooten!).
https://play.google.com/s....xprivacy.installer&hl=en
En daar ga je al.. Hiermee heb je dus nog steeds de mogelijkheid dat malware nog steeds kan verspreiden.
Hoe bedoel je? Dit begrijp ik niet. Xprivacy zorg er juist voor dat het voor malware veel moeilijker wordt je data of je systeem aan te tasten.
De grote obstakel is dat je dus een toestel geroot moet hebben om een dergelijk programma te kunnen installeren. Dus dan smoor je maar voor een gedeelte deel in.
"Dus dan smoor je maar voor een gedeelte deel in.
Wat bedoel je hiermee? Wat heeft root te maken met malware? Ik begrijp er helemaal niets van. Rooten is inderdaad een extra, handeling ja. Maar verder?
Zou erg handig zijn inderdaad. Maar een ander groot probleem is dat veel mensen niet precies weet wat een app nou precies kan doen met een bepaalde permissie.

Enorm veel apps gebruiken bijvoorbeeld ACCESS_NETWORK_STATE. Ik zou in eerste instantie denken dat de app dus de status van het netwerk kan bekijken. Bijvoorbeeld: heb ik wifi? heb ik internet? Maar je krijgt dan meteen toegang tot de WifiManager. Je kan daar dus vrij veel mee doen en het belangrijkste is het MAC-adres ophalen.

En dat is bij enorm veel permissies het geval. Ik zou graag zien dat elke developer moet uitleggen waar hij de permissies voor nodig heeft. Het is leuk om een lijstje te zien met permissies maar je kan er eigenlijk vrij weinig mee tenzij je weet wat je met elke permissie kan. Als je het niet eens bent met een aantal permissies maar wel de app wilt dan zou de Permission Manager uitkomst bieden.

Deze app werkt trouwens voor sommige mensen: Permission Manager. Een andere leuke app vind ik Permission Explorer. Je schrikt soms wel als je ziet welke permissies sommige apps allemaal hebben. Door de updates komt er vaak een extra permissie bij en dan accepteer je maar. Het resultaat is dat een app zoals Facebook uiteindelijk maar liefst 37 permissies heeft.
Waarom bestaat er uberhaupt iets als een premium SMS abonnement dat je via de telefoonrekening moet betalen?

Je hebt met de provider namelijk een afspraak over een vast abonnementsbedrag. En ik ken geen diensten die dit op een legitieme manier gebruiken.

Tegelijk verschuilen providers zich achter "wij zijn het niet, je moet bij een onvindbaar kantoortje zijn waar je nooit zaken mee gedaan hebt" - terwijl ze wel een deel van de omzet kunnen houden.

Het is alsof je gerold wordt, je de zakkenroller aanhoudt en deze wegkomt met de mededeling: "ik werk voor een opdrachtgever, dus ik ben niet schuldig".

In Nederland is het tegenwoordig wel redelijk geregeld geloof ik (bij Ben kon ik in ieder geval alle premium-diensten uitzetten, en dat was een keuze die verplicht of makkelijk te vinden was, of het wqas default uit). En bij Ben en T-Mobile (hoe is dat bij andere providers) staat je telefonnummer niet op de SIM-kaart.

Er is/was nog een manier om aan een nummer te komen, namelijk door een WAP-pagina op te vragen. De WAP gateway stuurde dan het telefoonnummer mee in de HTTP headers.

Mijn advies bij dit soort dingen is om in ieder geval te klagen. Providers rekenen intern kosten van een paar euro per helpdeskgesprek, dus als er veel geklaagd wordt dan wordt het probleem wel aangepakt.
En bij Ben en T-Mobile (hoe is dat bij andere providers) staat je telefonnummer niet op de SIM-kaart.
Het artikel even herlezen. Er staat namelijk dat het telefoonnummer uit WhatsApp gehaald wordt, niet van de SIM kaart.
Het is gewoon een ander betaalmiddel. Ik heb zelf vaak zat iets op die manier betaald. Denk bijvoorbeeld aan een simpel proefabonnement van een paar euro op een site. 3 smsjes van 1,10 en ik heb automatisch betaald. Hoef ik nog geen random reader of iets tevoorschijn te halen.
Het is een waanzinnig in-efficient en duur betaalmiddel ja.
Voor een dienst §3,30 betalen ok. Maar als je dan even nadenkt, dat meer dan §1,00 van dat bedrag "betaalkosten" (oftewel pure winst voor het telefoonbedrijf) zijn, dan frons je wel even je wenkbrauwen.

Pinnen kost maar een paar cent. Zolang de "betaalkosten" van betalen per telefoon niet tegen kostprijs kunnen maar nog steeds als een vette winstmaker voor de telco's functioneren kan je in mijn optiek echt niet praten over een alternatief betaalmiddel.
Dan heb je een behoorlijke slechte leverancier, als je een hele euro afgeeft aan de provider. De API's die ik gebruik vragen gemiddeld ergens tussen de 6 en 9 dollarcent per afgeleverd bericht, en dat is al redelijk prijzig.
Een hele eenvoudige oplossing zou zijn als providers "betalen voor ontvangen van SMS" zouden afschaffen! Natuurlijk doen ze dat niet, want het is een grote bron van inkomsten (iets wat begon met ringtones downloaden, en toen al voor fraude zorgde).
Ik heb geen enkele behoefte aan het betalen voor het ontvangen van SMS-berichten. Gewoon afschaffen dus.
Ah, nou... Komt dat even goed uit :)
Je kan hier betaalde SMS diensten blokkeren:
http://www.payinfo.nl/


Als je daar de boel geblokkeerd hebt, zal je ook nooit last kunnen ondervinden van deze betaaldienst. Twee vliegen in 1 klap, en je bent van mogelijke betaaldiensten af (zelfs als je dat per ongeluk doet) en dit soort virussen kunnen niet werken.

Voila :P
De grote vraag is nu, is google hiervoor verantwoordelijk, het staat in hun app store. Heb je er voor moeten betalen dan hebben ze er ook nog geld aan verdiend. Zelf als het gratis is kunnen ze ook een probleem hebben.
Developer breekt Google's EULA en is dus verantwoordelijk... Zo'n grote vraag is dat niet ;-)
http://play.google.com/ab...stribution-agreement.html
Kan je echter zo makkelijk onder jouw verantwoording uitkomen? Fysieke winkels hebben tenslotte ook een hele hoop verantwoordelijkheid die ze niet zomaar kunnen weggooien door te zeggen `als u hier iets koopt zijn wij niet verantwoordelijk'.

De regels voor electronische winkels loopt wat achter, maar je zou op zijn minst moeten kunnen verwachten dat je in een winkel van een groot bedrijf niet te maken krijgt met criminelen en criminele activiteiten? Het meest waarschijnlijke is dat je als gebruiker de winkel verantwoordelijk houdt, die op zijn beurt de developer verantwoordelijk houdt, maar als eindgebruiker heb je niets te maken met de developer alleen met de winkel en dus Google, dus dan zou deze voor de consument voor een adequate oplossing moeten komen.

De hoogste tijd dat de wetten worden geupdate zou ik zeggen.
De discussie is of Google Play een winkel is of een hostingbedrijf. De wet biedt speciale bescherming aan de laatste. Alsje niet screent wat mensen online zetten, maar alleen achteraf met NTD ingrijpt, dan ben je normaal niet aansprakelijk. Dat is waar Google zich achter verschuilt.
Google Play is natuurlijk gewoon een winkel. Ze verkopen immers apps en verdienen daar aan net als dat een kledingwinkel dat doet. Google kan zich niet verschuilen achter het feit dat ze 'ook' (vooral) gratis apps hosten. Je zou het hosten van gratis apps ook kunnen zien als, mensen lokken om betaalde apps te aan te schaffen of om vooral toch Android producten te kopen. Immers host Google niet voor de lol, daar zit natuurlijk een business gedachte achter.
Bij de definitie uit de wet maakt het niet uit hoe je jezelf noemt. Dus de titel van de dienst is niet relevant. Er is al bepaald dat sociale netwerksites (Netlog) hieronder vallen, alsook veiliingsites (eBay) en Google met z'n advertenties. Als eBay een hoster is, waarom Google Play dan niet?
Ik betaal bij eBay direct aan de verkoper (toegegeven, daar biedt eBay een hele handige toegevoegde dienst voor die dat heel makkelijk maakt, maar ik mag prima met cash in hand naar de verkoper stappen). De verkoper betaalt vervolgens eBay voor het gebruik van de veiling/hostingdiensten. Bij Google Play betaal ik Google, en Google betaalt de dev.

Dat lijkt me in ieder geval al een essentieel verschil, waardoor het eBay voorbeeld niet per definitie van toepassing is.

De vraag is dan, is Google Play een dienst die als 'agent' optreedt en verkoopt *namens* de developers (tegen een vaste commissie), of zijn ze een winkel die toevallig een vaste marge hanteert tussen inkoop en verkoop? Zij claimen uiteraard het eerste. Ik zou geneigd zijn het met ze eens te zijn, eerlijk gezegd.
Het heet de Google Play Store. Ga je naar play.google.com, kom je uit bij https://play.google.com/store dus ze zien zichzelf voornamelijk als winkel
"Store" kan ook slaan op opslag.
Technicality, I know. Maar de naam zegt weinig over de content.

De mcDonalds in Utrecht C heet Blondje BV en zo verschijnt het ook op je bankafschrift... Maar het is gewoon een mcDonalds, geen hoerenkeet oid. ;)
Rare vergelijking, maar what I'm trying to say is: de naam zegt vrij weinig over wat het bedrijf doet.
Is de hoster verantwoordelijk als een gebruiker een mp3 op zijn website zet zonder dat hij de rechthebbende is?

Antwoord: Nee
Ik denk niet dat je de play-store juridisch gelijk kunt stellen aan een filehost.
Waarom is de playstore anders dan een webhoster?
Als je bij Albert Heijn een potje bedorven jam koopt, is AH verantwoordelijk richting jou als klant. Niet de leverancier van de jam.
Omdat dat zo in de wet staat. Softwarematig is het een hele andere zaak.
Als de AH website namelijk malware aanbied die geinjecteerd is door een kwaadwillende, en jou PC wordt geinfecteerd, dan kan de AH daar ook niets aan doen noch verantwoordelijk gehouden worden. Je zou kunnen stellen dat de website van de AH dan bedorven is, maar je kan ze helemaal niets maken.

Een potje bedroven jam vergelijken met een app die bewust kwaadwillend gemaakt is en door een bedrijf/scriptkiddy in de app store is geplaatst is Apples met Peren vergelijken...
En in dat geval is het toch echt de leverancier van de software die strafbaar bezig is. Daarnaast is er ook nog zoiets als voorwaarden... Die Google buiten schot houden.

Beetje nutteloze vergelijking dus, zelfs symbolisch nutteloos.

[Reactie gewijzigd door WhatsappHack op 14 februari 2014 22:33]

De AH kan wel degelijk verantwoordelijk gehouden worden als ze malware distribueren die door een derde is geinjecteerd. je gaat de volgende paragraaf over op "strafbaar", en dat is een heel ander concept dan "verantwoordelijk" of zelfs "aansprakelijk".

Google is als verkoper van het product verantwoordelijk voor het feit dat ze een ondeugdelijk product verkocht hebben, en ze zullen dan ook de betaalde prijs voor het product moeten teruggeven.

Wat ze niet automatisch zijn is aansprakelijk voor vervolgschade (de premium sms dienst).
Los van die verantwoordelijkheid is dit natuurlijk wel behoorlijk giftig voor Google. Als hun officiŽle store malware serveert levert dit een hoop imagoschade op en, in Amerika, waarschijnlijk rechtzaken. Ze zullen dus wel met een plan komen om dit in de toekomst te voorkomen.
De "vrijheid blijheid" van Android is in feite ook het zwakste punt. Niemand bij Google controleert vooraf een app in de Appstore, het is altijd achteraf als het misbruik al plaats heeft gevonden.

De controle van Apple is daarentegen het tegenovergestelde. Die gaat zelfs inhoud filteren als het niet bij hun ideeŽn past. Eigenlijk kom ik steeds meer tot de conclusie dat Windows Phone het beste model heeft. De Appstore wordt gecontroleerd op malware en op strafbare zaken, maar verder bemoeid MS zich niet met de content als deze niet in de eerder genoemde categorieŽn valt.
"Google checkt apps met zijn Bouncer-programma op malware voordat ze in de Play Store komen."
Ja en....

Schijnbaar is die controle niet goed genoeg en zou men beter moeten checken.

Schrijvers van dit soort malware zoeken naar de zwakke plekken in het google bouncer systeem en schijnbaar hebben ze die nu gevonden. De vraag is wat gaat google daar tegen doen.
Schijnbaar is die controle niet goed genoeg en zou men beter moeten checken.
Beveiliging, in welke vorm dan ook, holt per definitie achter de feiten aan. Je kunt je pas beveiligen tegen iets als je afweet van het bestaan ervan. Ergo, pas als Google of een malwareontwikkelaar een gelegenheid tot misbruik ontdekken, kan dit gat gedicht worden.
'Men zou beter moeten checken' en CMD-Snake's 'De effectiviteit van de controle zet ik persoonlijk vraagtekens bij' zijn dan ook behoorlijke dooddoeners. Apple voert een veel stringenter beleid dan Google en is ook al meerdere malen niet immuun gebleken voor malware.
Je kan het ook anders zien.

Je kan actief ook zelf je beveiliging blijven tegen c.q daar mensen voor in dienst nemen of opdracht toe geven om dit te testen. De malware nu is gewoon een hele creatieve die normaal voldoen aan de eisen.
google betaald nu al mensen voor bugs in software en zou dat ook voor de appstore kunnen doen. De paar miljoen die ze daarvoor weg zouden geven verdienen ze snel terug. Kijk naar de image schade nu.
Daarnaast zullen ze alle bestaande software hierop moeten scannen.
Beter checken is mogelijk, zoals Apple dat doet. Maar dat brengt ook weer de nodige kosten met zich mee en dat zal uiteindelijk bij de klant belanden.
Niet checken brengt nu ook de nodige kosten met zich mee en dat zal de klant uiteindelijk ook moeten betalen.

De vraag is alleen wat kost de klant effectief meer ?
De klant misschien niks, maar de developper wel ;)
Dat die controle niet goed is zou kunnen.

Mijn post was een reactie op CMD-snake die zei dat er GEEN controle is.
Maar toch blijft de Playstore met enige regelmaat een app aanbieden die malware is of bevat. De effectiviteit van de controle zet ik persoonlijk vraagtekens bij.
Het is toch net als een Virusscanner? Die zijn toch ook nooit vlekkeloos? Er zullen altijd mensen zijn die blijven proberen om onder die scanners door te komen...

Het gaat er meer om, vinden we dat acceptabel? Zo niet? Moeten we gewoon meer betalen voor meer controle...
De play store is een winkel, waarbij een verkoper (Google) bepaalde producten aanbiedt (van derden, dat dan weer wel). Het is daardoor eerder vergelijkbaar met Ebay, waarbij het aanbod in principe ook slechts oppervlakkig gecontroleerd wordt.

Ebay geeft tenminste nog geld terug bij fraude.
Omdat de play-store standaard op je mobiel staat en betaalde content aanbiedt, vind ik het al wezenlijk anders. Google heeft een grotere zorgplicht t.o.v. haar klanten dan een webhoster denk ik.
Omdat de verkoper verantwoordelijk is voor de goede werking van wat hij je verkoopt.
Als ik een telefoon opraap van de stoep, is de gemeente niet verantwoordelijk voor de goede werking ervan.
Als ik een telefoon koop in een winkel, is die winkel wel verantwoordelijk.
Omdat google een percentage heft op de verkochte apps, lijkt me. Zij zijn poortwachters en controleren wat er in de store staat.

Als ik iets koop bij een winkelier is die winkelier ook eerste aanspreekpunt, niet de fabrikant. Zelfde principe.

[Reactie gewijzigd door Vayra op 14 februari 2014 11:15]

Omdat google ook verdient aan de verkoop uit de playstore c.q ook aan het downloaden.
Is de hoster verantwoordelijk als een gebruiker een mp3 op zijn website zet zonder dat hij de rechthebbende is?

Antwoord: Nee
'Nee' is te kort door de bocht. Het oordeel heeft ook te maken heeft met de hoeveelheid 'best effort' die de hoster toont. Iemand kan altijd iets illegaals op bijvoorbeeld Tweakers.net posten. Doordat er een goed moderatiesysteem aanwezig is waarbij dit soort content zo snel mogelijk (in redelijkheid en billijkheid) verwijderd wordt, zal Tweakers.net niet aansprakelijk worden gesteld bij dit soort content op hun site.
Je vergelijking gaat mank, een betere kan zijn:

Is bol.com verantwoordelijk als een product wat ze verkopen tot gevolg heeft dat je ineens allemaal abonnementen hebt waarvoor je moet betalen.

Ik denk het wel, bol.com ( playstore ) is de verkoper en de klant heeft daarmee een overeenkomst met de verkoper. Die is namelijk eerste aanspreekpunt.

Maar er zijn ook zat voorbeelden te vinden waar dit niet zou opgaan. Denk dat er nog wel verschil is tussen een defect product ( doet niet wat hij moet doen ) en een product wat 'bonus' functionaliteit heeft die je extra geld kosten zonder jouw medeweten
Ik snap zeker je punt.

Maar wat als het om een gratis app gaat?
Want de playstore is op zich niet meer dan een hoster van bestanden waarbij de Play Store de browser is.

Het is in alle gevallen wat anders als beweerd wordt dat er controle plaats vind etc. Bol.com zegt vast wel ergens iets over hoe goed hun producten zijn, ik weet niet wat de algemene voorwaarden van de Play store daar dan weer in zegt.
Jij gaat er vanuit dat het systeem van verkopen hetzelfde is in de Play Store als in de App Store. Dit is niet het geval. Als je in de App Store een app koopt dan koop je die van Apple, bij de Play Store is de developer de verkoper. Bekijk het als Google biedt een dienst aan om jou app in hun uitstalraam te zetten (waarvoor zij een percentage van de opbrengst krijgen) maar de ontwikkelaar blijft de verkoper en is dus verantwoordelijk voor de app (een beetje zoals veel antiekwinkels werken).

Is Google dan helemaal niet aansprakelijk? Nee dat natuurlijk niet, Google heeft hier gedeeltelijke schuld (zoals een antiquair die een schilderij geattribueerd aan een bepaalde artiest verkoopt op vraag van de eigenaar gedeeltelijk verantwoordelijk is als het achteraf fake blijkt te zijn) maar de hoofd verantwoordelijkheid ligt bij de developer.
Bij Apple is dit anders, Apple is de verkoper en is dus verantwoordelijk (toch tov eindgebruiker). Dit verklaart mss waarom Apple apps over het algemeen strenger controleert.

[Reactie gewijzigd door Chip5y op 14 februari 2014 13:42]

Waarom moet er altijd naar analogieen gezocht worden?
Analogieen zijn een zwakte, die voornamelijk worden toegepast als er geen direkte steekhoudende argumenten gevonden kunnen worden. Analogieen zijn ook vaak krom. Gebruik ze gewoon niet! Kom gewoon met goede argumenten!
De Nederlandse wet is (gelukkig) zo opgebouwd dat niet alles letterlijk beschreven hoeft te worden.Er kan verwezen worden naar soortgelijke regelgevingen en deze mogen toegepast worden.

Niks mis mee dus.
Jawel er is wel wat mis mee.

Neem bijvoorbeeld de piraterij. Daar wordt vaak analogie getrokken met "diefstal". Dit slaat kant nog wal, zoals vele Tweakers inmiddels weten (door goed na te denken over wat er feitelijk aan de hand is). Maar het erge is: dat hele idee (die analogie) is bijna niet weg te krijgen uit de algemene opinie en beeldvorming.

Met analogieen is het dus enorm oppassen geblazen. En het devies is dan ook: vermijden waar mogelijk.
Het voorbeeld wat jij geeft, dat is inderdaad geen vergelijking. Zowel fysiek als digitaal is het niet te vergelijken.

Maar dat wil niet zeggen dat geen enkele vorm geldig is.
Juist. Voorzie je analogieŽn daarom van een duidelijke toelichting en kader waarbinnen deze geldig zijn. Dat is echter vaak meer werk en indirecter dan gewoon rechtstreeks met argumenten komen.
laatste foto bij artike laat wel zien dat het gratis is,
Ze zijn wel ingedekt natuurlijk, de voorwaarden staan in het 'grijze gebied' (no pun intended :p)
De grote vraag is nu, is google hiervoor verantwoordelijk, het staat in hun app store. Heb je er voor moeten betalen dan hebben ze er ook nog geld aan verdiend. Zelf als het gratis is kunnen ze ook een probleem hebben.
Een app als deze betaald aanbieden? Dan krijg je ten eerste al een stuk minder downloads, plus krijgen ze minder inkomsten door de betaalde SMS diensten, waar het hen juist om gaat.
Wel goed lezen. In het artikel staat letterlijk:
"Hoewel veel malware gericht is op Android, komen de dreigingen vaak uit apps die niet in Googles Play Store verschijnen. Veelal zit malware in apps op bijvoorbeeld filesharing-sites waarvan gebruikers denken dat het een gekraakte versie is van een betaalde app. Veel malware zit ook in apps voor alternatieve downloadwinkels. Google checkt apps met zijn Bouncer-programma op malware voordat ze in de Play Store komen. Bovendien kan Google apps die gebruikers sideloaden bij installatie op malware checken."
Als die bevestigings sms toch onderschept wordt en alles zo fishy geimplementeerd is, waarom dan nog wel 'officieel' laten bevestigen met die knop?
Zouden ze serieus denken op juridisch gebied het daarmee af te vangen? Of is het anders technisch niet mogelijk om het abbonnement aan te vragen op de een of andere manier?
Ik denk idd juridisch afvangen; zo kunnen ze tenminste nog claimen dat de gebruiker de kleine lettertjes gelezen heeft en ermee akkoord gegaan zijn. Volgens mij is het per wet ook niet verboden om (zoals in dit geval) gegevens van andere apps uit te lezen; dat is eerder een kwetsbaarheid in de software (Android), en vzviw is er nog nooit een bedrijf daar voor aangeklaagd (anders waren bedrijven als Adobe, Oracle, Microsoft jaren geleden al falliet door alle schadevergoedingen).
Wat ik me afvraag. Om die SMS af te vangen, heeft die app dan niet sowieso toegang tot de smsjes nodig? Dit zou opvallen bij de installatie.
OT: altijd voorwaarden lezen?
(ik doe het ook niet altijd hoor)

Als ik het goed begrijp zat deze mallware wel gewoon in de de 'officiele' play store?
Dan werkt het bouncer-programma toch niet zo goed..


Off-Topic: Dat zal ze leren, ben dat hele cupcake gedoe al beu van dag 1!
Ik neem aan dat de mensen achter die premium-smsdienst de 'opdrachtgevers' zijn voor deze malware. Zij zijn de enige die eraan verdienen/belang bij hebben. Google zal ze moeten aanklagen/een dozijn onderzoekers op ze afsturen.
Gelukkig heb ik me zelf bij de telco geblokkeerd op premium-sms-diensten. Ik gebruik dat toch niet, en het kan enkel misbruikt worden.
Iedereen heeft het wel over die malware apps... maar dat Whatsapp het blijkbaar toelaat dat andere apps de data van Whatsapp kunnen benadere/gebruiken is volgens mij veel zorgelijker.
Zeker gezien het aantal gebruikers van Whatsapp en de mogelijke (nog onbekende) andere apps die er vanalles uitvissen
Ik denk niet dat het zo gemakkelijk gaat als je nu omschrijft. Zover ik weet zit er wel encryptie overheen. Ze zullen misschien een lek in de software van whatsapp hebben gevonden. Had iedere populaire app kunnen overkomen.
99% dat ze de nachtelijke backup op de SD misbruiken. Die is wel encrypted, maar daar ben je zo doorheen.
Het harvesten van mobiele nummers is helemaal niet moeilijk met WhatsApp. Vooral niet als je het proces kan automatiseren. Voeg een willekeurig nummer toe aan je adresboek en WhatsApp vertelt je vanzelf of dit nummer ook een account heeft. De foto van de gebruiker kun je ook direct bekijken. Ik heb ooit een test gedaan door 1000 opvolgende telefoonnummers in mijn adresboek toe te voegen. Ik had behoorlijk wat hits.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True