Gepubliceerd: Vrijdag 30 juli 2010
Mobiel beveiligingsbedrijf Lookout waarschuwt gebruikers van iPhone en Android dat talloze apps zeer privacygevoelige data aftappen. Er is grote naïviteit over de risico’s van mobiele apps.
Toon volledig artikel
Een wat minder gekleurd artikel:
venturebeat.com/2010/07/28/android-wallpaper-app-that-steals-your-data-was-downloaded-by-millions/
Zucht.....
Het orginele artikel schrijft dat veel (+-30%) van de iPhone en Android apps privacygevoelige data ZOUDEN KUNNEN aftappen, niet dat talloze apps dat ook werkelijk doen. Het overgrote deel van die apps hebben toegang tot deze gegevens met een goede rede, bv een sms app heeft toegang nodig tot de sms en contacts, een browser app heeft per definitie toegang tot je surf gedrag en bookmarks, een keyboard app kan elke toetsaanslag zien... enz.. enz...
Ik heb sinds deze week een HTC Wildfire (met Android 2.1 en hij bevalt prima). Ik heb jaren een smartphone gehad met Symbian (het laatste model dat ik had was een Satio).
Ik heb veel applicaties gedownload van de Android market om uit te proberen. Die waarschuwingen negeer je inderdaad altijd.
Maar verder valt me op dat je veel applicaties niet af kunt sluiten, die blijven gewoon lopen in de achtergrond.
Bij Symbian sluit je een programma af en dan is die ook echt afgesloten. Ook geeft Symbian een waarschuwing op het moment dat een programma naar internet wil en dan kun je vervolgens aangeven of je die waarschuwing in het vervolg negeert of hem weer wilt hebben. Dat bevalt me dus niks van Android.
Ik heb trouwens wel het antivirus van Lookout geinstalleerd.
Houd die antivirus dan wel dit gedrag tegen?
En wat moet een iPhone bezitter doen om zich hier tegen te wapenen?
En wat is het risico op andere platformen in de markt die niet genoemd zijn in het artikel?
Fanboys worden toch beschermt door dictator steve? Verder is het tamelijk dom om een wallpaper te installeren waar zoveel waarschuwingen bij staan. Misschien is het sowieso niet erg slim om zoiets nutteloos als een wallpaper te installeren.
Ik vind het prettig dat er door Apple strenge controle is. Je zult zien dat het bij Android uit de klauwen gaat lopen met security en dat Google op langere termijn excact de strategie van Apple gaat overnemen. Wat is trouwens de naam van de dictator bij Google?
Ik vind het prettig dat er door Apple strenge controle is.
En toch kan je al developer een app in de store krijgen die totaal iets anders doet dan geadverteerd: flashlight met ingeboude socksserver.
Ik vraag me dan ook af wat die controle inhoud? Als de controle van de code niet heeft kunnen achterhalen dat deze app bind aan lokale poorten om een server op te zetten, dan stelt de controle echt totaal niets voor.
Uit het artikel:
"Unfortunately, it didn’t last long. The app was yanked from iTunes as soon as news of its true abilities appeared online."
En zo gaat dat vaker. Er zijn wel eens apps die door de controle glippen, maar die worden dan al gauw weer uit de App Store gehaald.
worden dan al gauw weer uit de App Store gehaald
Achteraf nadat het bekent werd wat de echte functionaliteit van de app was. Niets aan de hand dus, waarom zouden we ons dan druk maken over een app die uit de android market is verwijderd?
Maar mijn vraag blijft onbeantwoord. De controle is schijnbaar een wassen neus, een scan van gebruikte APIs zou dit soort gedrag hebben herkend en dan zouden er toch allerlei alarmen moeten zijn af gegaan voordat de app in de store terecht kwam: waarom zou deze app een serversocket moeten kunnen openen?
In mijn ogen wordt met deze "controle" door Apple een schijnveiligheid gecreeerd.
Dictator? hij heeft mij anders nog nooit wat opgelegd en ik zie hem ook niet in mijn voortuin stalken of ik iets verkeerd doe.
Wel ben ik mee eens dat het dom is om wallpapers een applicatie voor te downloaden.
Waarom zou je dat in vredesnaam doen als je die gewoon van het internet als een jpg/bmp/png kan plukken.
Er zijn diverse apps die het afsluiten voor je kunnen doen. Ik heb ze nooit gebruikt, en na een paar maanden kan ik niet beweren dat ik een verschil merk. Het lijkt erop dat het niet afsluiten van Apps de zaak niet vertraagd.
Op mijn Windows mobile telefoon was een tooltje om apps te kunnen sluiten noodzakelijk omdat het anders zo traag als dikke str... eh, dinges werd.
Ben geen echte programmeur dus wellicht zullen sommige van jullie mijn vraag kunnen beantwoorden.
Is het niet mogelijk een soort van schil rond de applicaties te bouwen zodat ze op geen enkele manier toegang krijgen tot gevoelige informatie? Indien een applicatie dit wel wilt, je via een pop-up met een grote waarschuwing toestemming moet geven en nadrukkelijk op de risico's gewezen wordt.
Dat gebeurd dus bij Android, bij installatie geeft Android precies aan tot welke data/resources de app toegang wil hebben. Als een gebruiker zonder te lezen dit accepteert dan is er natuurlijk weinig meer aan te doen aangezien ze waarschijnlijk hetzelfde doen bij popups van bv een firewall. Ik heb meer dan eens de installatie geanuleerd omdat ik vond dat de app meer permissies vroeg dan deze nodig zou moeten hebben.
Dit bericht is voor de Android liefhebbers en vooral voor Google wat zorgelijker.
Gaat over root control op Andoid phones.
Hij wijst erop dat gebruikers goed moeten opletten wat ze downloaden
Tja, kun je een nog grotere dooddoener verzinnen??? Waar moeten ze op letten dan? Staat er een groot rood uitroepteken en een symbooltje van een boef bij?
In feite doet Android dat ook. Een wallpaper app die vraagt om ruimte op je SD kaart is nog logisch. GPS en Internet wordt al twijfelachtiger. Maar telefoonstatus en identiteitgegevens? Hallo! Wakker worden!
Ik kan het zo snel niet vinden maar een paar jaar geleden heeft iemand een testje gedaan met software waar de installer de melding gaf dat er malware zou worden geinstalleerd indien men toestemming zou geven. Resultaat van dit onderzoek was dat schijnbaar niemand deze meldingen nog leest.
Ik vind het persoonlijk overigens een gemis dat de android permissies alleen tijdens install te bepalen zijn in een alles of niets situatie. Ik zou graag zien dat permissies ontnomen/gegeven kunnen worden na installatie (niet perse tijdens gebruik aangezien je dan ook weer snel popup moe wordt).
Resultaat van dit onderzoek was dat schijnbaar niemand deze meldingen nog leest.
Dat weet ik, maar welke bescherming kan je inbouwen tegen menselijke domheid?
Ik heb ook al eens iemand aan de telefoon gehad die een bijlage in de mail wilde openen. Maar de virusscanner gaf een waarschuwing en blokkeerde de aktie. Dus vroeg meneer hoe hij zijn virusscanner uit moest zetten, anders kon hij niet zien wat de bijlage was. =P
in een alles of niets situatie
Dat ben ik op zich wel met je eens, maar ik denk niet dat je een soort van rules kan opzetten per app waarin je zelf bepaald wat mag of niet. Zo is Android op dit moment volgens mij niet opgebouwd. Het bepaald vooraf wat een app gaat doen, omdat achteraf alles in principe open staat voor de app.
Ik denk dat dat de trade off is tussen veiligheid en snelheid. Uitgebreide veiligheidslayers kosten denk ik teveel geheugen en processorcapaciteit.
Dat ben ik op zich wel met je eens, maar ik denk niet dat je een soort van rules kan opzetten per app waarin je zelf bepaald wat mag of niet. Zo is Android op dit moment volgens mij niet opgebouwd. Het bepaald vooraf wat een app gaat doen, omdat achteraf alles in principe open staat voor de app.
Ik denk dat dit juist heel makkelijk mogelijk is, het is namelijk niet zo dat een geinstalleerde app volledige toegang heeft. Een app gebruikt bepaalde functies, indien je in je manifest niet de juiste rechten claimt, krijg je van de security manager niet de toegang.
De security manager wordt gevoed met de manifest file van de app en zal die importeren (anders zou het systeem vatbaar zijn voor veranderingen aan het manifest). In de versie in de security manager zou je bepaalde rechten simpel weer kunnen uitzetten. Het "probleem" zit hem in dat een programmeur wellicht niet controleert of de privileged call faalde en de app dus een FC genereert.
het is namelijk niet zo dat een geinstalleerde app volledige toegang heeft
Ik ben geen Android programmeur, dus ik zou het niet weten.
Ik nam aan dat alle apps na installatie overal bij kunnen, omdat je de keuze op voorhand, zonder een mogelijkheid tot voorbehouden, wordt geboden om de app te accepteren of af te wijzen.
Ik ben nog wel eens van plan om er wat dieper in te duiken, maar op dit moment heb ik daar absoluut geen tijd voor.
Misschien interessant voor de bezoekers hier om voor wat betreft de berichtgeving omtrent die wallpaper app op Android, ook de andere kant van het verhaal te vernemen.
Dat nuanceert het verhaal nogal ja. :)
Natuurlijk blijft het probleem dat het veiligheidsbeleid in de Android Market te wensen overlaat, maar in dit specifieke geval is het wel een beetje een heksenjacht geweest waarbij de diverse partijen helaas opnieuw de werkelijkheid uit het oog zijn verloren.
Het lijkt een trend te worden. Eerst schrijven, dan pas uitzoeken of het nieuws wel echt waar is.
Dat je data (device id, telefoonnr en subscriber id) nodig hebt om favorieten te kunnen markeren is wel wat twijfelachtig misschien. Maar ik vind het geen onwaarschijnlijke verklaring.
Ik zou de developer alleen aanraden om de gebruikers dit bewust te laten registreren.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
