image

'Top 10 gevaarlijkste Android-apps'

zondag 28 oktober 2012, 15:51 door Redactie, 21 reacties

Een gratis app van een pratende virtuele poes is volgens een Amerikaans beveiligingsbedrijf de gevaarlijkste Android-app met de meeste downloads. TrustGo omschrijft apps als gevaarlijk als ze het telefoonnummer stelen, ongewenste advertenties tonen, het apparaat-ID stelen of ongewenste icoontjes plaatsen om gebruikers te misleiden meer apps te downloaden.

81% van de 'zeer risicovolle apps' steelt het telefoonnummer en verkoopt die aan adverteerders. Het versturen van ongewenste advertenties kwam bij 67% voor, terwijl iets minder dan de helft het apparaat-ID opslaat. Het plaatsen van ongewenste icoontjes kwam bij 37% voor.

Google Play
Aan de hand van deze kenmerken werd een Top 10 van gevaarlijkste apps opgesteld die via Google Play worden aangeboden. De gratis app Talking Tom Cat staat daarbij op de eerste plek, gevolgd door Guitar: Solo Lite en Brightest Flashlight.

Talking Tom Cat zou van meer dan 50 miljoen toestellen het telefoonnummer en apparaat-ID naar derde partijen hebben gestuurd. De nummers twee tot en met zes hebben elk meer dan 10 miljoen downloads. Volgens de beveiliger laat dit zien dat populaire apps niet altijd te vertrouwen zijn.

Reacties (21)
28-10-2012, 16:21 door spatieman
no shit.
alsof dat bij apple beter geregeld is.
28-10-2012, 16:54 door Anoniem
in dat opzicht doet Microsoft het dan wel weer goed: alle apps worden gecontroleerd door MS voordat ze geïnstalleerd kunnen worden op Windows Phone, tablet of pc. Of niet?
28-10-2012, 18:23 door TechCrash
En wat heeft Apple hier nou weer mee te maken?
28-10-2012, 18:29 door Anoniem
Door TechCrash: En wat heeft Apple hier nou weer mee te maken?

Tja spatieman kraamt er wel vaker op los :-) Niet te serieus nemen die gast.
28-10-2012, 19:22 door P5ycH0
De grootste dreiging is de gebruiker.
Daarna het OS.
Dan de openheid/geslotenheid van de stores.
28-10-2012, 19:26 door typecast
Door spatieman: no shit.
alsof dat bij apple beter geregeld is.
Ja veel beter. Nadeel is alleen dat Apple wel alles onder hun voorwaarden in de Apple store zet.
Voldoet de app niet aan hun normen dan komt die er gewoon niet in.

Hiermee zeg ik niet dat Apple alles tegen houd hoor.. komt nog zat shit door alleen in tegenstelling tot google staat de voordeur niet wagenwijd open voor alle shit apps.
28-10-2012, 21:31 door ernie
Door P5ycH0: De grootste dreiging is de gebruiker.
Daarna het OS.
Dan de openheid/geslotenheid van de stores.
Makkelijk praten; niet elke gebruiker is even kritisch/voorzichtig/beveiligings-bewust en dat kun je veel mensen ook niet al te kwalijk nemen.

Mensen horen het gevoel te mogen hebben dat ze Google kunnen vertrouwen. Als apps die bij het starten van de app-store op de voorpagina al een gevaar zijn, dan klopt er toch iets niet lijkt mij.

Natuurlijk moeten mensen voorzichtig zijn met wat ze met hun apparaten en informatie doen, maar IMHO gaat voor veel mensen de technologie hun pet te boven en zijn ze gewoonweg niet (meer) in staat om veilig om te gaan met wat voor veel mensen hun dagelijkse (technologische) leven is geworden. Ik vind het te vergelijken met een kind van 7 een vlijmscherp koksmes geven en dan het kind de schuld geven zodra er bloed vloeit.

Simpel samengevat, computers en mobiele apparaten zijn langzamerhand voor veel mensen van een luxe een noodzaak geworden en op dit moment is niet iedereen in staat zich zodanig in de materie te verdiepen dat ze er veilig mee kunnen omgaan.
29-10-2012, 07:04 door [Account Verwijderd]
[Verwijderd]
29-10-2012, 08:08 door Anoniem
Ik heb die pratende kat ook wel eens gezien op een Apple apparaat.
Weet niet meer of het een ipad, iphone was.
Is die dan minder gevaarlijk ?
29-10-2012, 08:31 door Anoniem
Door pe0mot:
Door ernie:
Door P5ycH0: De grootste dreiging is de gebruiker.
Daarna het OS.
Dan de openheid/geslotenheid van de stores.
Makkelijk praten; niet elke gebruiker is even kritisch/voorzichtig/beveiligings-bewust en dat kun je veel mensen ook niet al te kwalijk nemen.
Inderdaad!
Bijna alle apps vragen om veel te veel rechten. Ze hebben allemaal je nummer en je id nodig. Als je dat zou weigeren kun je 90% niet installeren?
Oftewel gebruikers zijn onschuldig. Het is Google die dit toestaat,
Human stupidity is niet technisch af te vangen. JIJ installeert dingen op je telefoon, JIJ bent verantwoordelijk.
29-10-2012, 08:41 door Anoniem
Bij ons lieve appeltje wordt je niet eens getoond welke rechten je zo'n applicatie geeft. Daarvoor zou je eerst je telefoon moeten jailbreaken en er een firewall tussen hangen.

Bij android is dat net ietjes anders, alleen zijn de rechten die je daar getoond worden bij het installeren net weer iets globaler. Ook daar kun je de telefoon root'n en er een firewall tussen hangen. Waarbij je er dus achter komt dat ze veel meer rechten pakken dan dat er eigenlijk gevraagd wordt.

In beide gevallen moet je alleen iets van een hobbyist zijn wil je hier iets mee doen. Ik denk dat zo'n 80% van de gebruiker van mobiele telefonie dit toch al niet is.
29-10-2012, 09:47 door Mysterio
Door ernie:
Door P5ycH0: De grootste dreiging is de gebruiker.
Daarna het OS.
Dan de openheid/geslotenheid van de stores.
Makkelijk praten; niet elke gebruiker is even kritisch/voorzichtig/beveiligings-bewust en dat kun je veel mensen ook niet al te kwalijk nemen.

Mensen horen het gevoel te mogen hebben dat ze Google kunnen vertrouwen. Als apps die bij het starten van de app-store op de voorpagina al een gevaar zijn, dan klopt er toch iets niet lijkt mij.

Natuurlijk moeten mensen voorzichtig zijn met wat ze met hun apparaten en informatie doen, maar IMHO gaat voor veel mensen de technologie hun pet te boven en zijn ze gewoonweg niet (meer) in staat om veilig om te gaan met wat voor veel mensen hun dagelijkse (technologische) leven is geworden. Ik vind het te vergelijken met een kind van 7 een vlijmscherp koksmes geven en dan het kind de schuld geven zodra er bloed vloeit.

Simpel samengevat, computers en mobiele apparaten zijn langzamerhand voor veel mensen van een luxe een noodzaak geworden en op dit moment is niet iedereen in staat zich zodanig in de materie te verdiepen dat ze er veilig mee kunnen omgaan.
Ik heb geen ervaring met Adroid en ook niet bar veel met iOS, maar wel met Windows Mobile. Als je daar een app wilt installeren krijg je een schermpje te zien met tot welke informatie of diensten de app toegang wil hebben. Met een akkoord en een annuleren knop.

Sommigen zijn logisch, maar als een spelletje toegang wil hebben tot mijn contactpersonen en foto's dan begint er toch wat te kriebelen. En zo'n overzicht is best handig.
29-10-2012, 09:56 door Anoniem
Door pe0mot: Bijna alle apps vragen om veel te veel rechten. Ze hebben allemaal je nummer en je id nodig. Als je dat zou weigeren kun je 90% niet installeren?
Oftewel gebruikers zijn onschuldig. Het is Google die dit toestaat,
Effe kijken hoe het eigenlijk werkt (heb zelf geen smartphone):
http://en.wikipedia.org/wiki/Android_%28operating_system%29#Security_and_privacyAndroid applications run in a sandbox, an isolated area of the operating system that does not have access to the rest of the system's resources, unless access permissions are granted by the user when the application is installed. Before installing an application, the Play Store displays all required permissions. A game may need to enable vibration, for example, but should not need to read messages or access the phonebook. After reviewing these permissions, the user can decide whether to install the application.
Voor mij zou een applicatie die rechten vraagt die voor zijn functioneren niet nodig zijn inderdaad een reden zijn om hem niet te installeren.

Dat mensen massaal wel die rechten geven doet me denken aan een bericht ooit dat nogal wat mensen verleid kunnen worden hun wachtwoord af te geven in ruil voor een reep chocola. Dat zijn dezelfde mensen die wel snappen dat ze links en rechts moeten kijken voor ze een weg oversteken, en die ook prima met complexere verkeerssituaties overweg kunnen. Het ontbreekt ze niet aan de intellectuele vermogens die nodig zijn om ook dit te snappen, maar toch steken ze in het digitale domein gedachtenloos over terwijl ze die auto zien aanstormen. Dat kan alleen als ze de consequenties niet snappen, het ontbreekt ze aan een heel basaal inzicht in wat een computers en netwerken eigenlijk zijn, een inzicht dat ze in de zichtbare fysieke wereld wel hebben. Dat de appstore voor Android kennelijk 'Play' heet helpt niet om de boodschap over te brengen dat er ook nog ernstige kanten aanzitten, en zo te zien doet Google geen enkele moeite om daarop te wijzen. Die laten dus inderdaad hun verantwoordelijkheid liggen.

Maar die ligt niet alleen bij Google, je mag wel een beetje kritische zin van mensen verwachten. Als ze de weg oversteken verwacht je dat ze uitkijken, als ze het huis verlaten verwacht je dat ze de deur dichtdoen, als ze een app installeren mag je ook iets verwachten. Het beveiligingsmodel van Android zou dan moeten kunnen functioneren.

Wordt bij IT-onderwijs op scholen wel aandacht aan de fundamenten èn de praktische consequenties daarvan besteed? Of richt het zich alleen op hoe je het meestgebruikte office-pakket moet bedienen? Als het daartoe beperkt blijft gaat het heeeeel lang duren voor we van dit soort ellende af zijn. Als kinderen en tieners meekrijgen dat ze niet alleen niet met een vreemde man mee moeten gaan maar ook niet zomaar alles moeten installeren kunnen hun ouders daar wellicht ook nog iets van opsteken.
29-10-2012, 12:53 door Rasalom
Door Mysterio: Ik heb geen ervaring met Adroid en ook niet bar veel met iOS, maar wel met Windows Mobile. Als je daar een app wilt installeren krijg je een schermpje te zien met tot welke informatie of diensten de app toegang wil hebben. Met een akkoord en een annuleren knop.
Ik heb dan weer geen ervaring met Windows mobile, maar als ik het zo lees dan dan Android en WP het exact gelijk aan de telefoon kant.

Het grotere verschil zit hem aan de achterkant. Google Play pleegt minimale controle voor een app wordt toegelaten in de store, terwijl Microsoft en Apple aangeven streng(er) te controleren voordat iets wordt toegelaten.

Veel van de apps gebruiken zo te zien het telefoon id en of telefoonnummer als methode om de gebruiker te tracken, wat natuurlijk niet te accepteren is. Wat mij betreft mag Google die Apps per direct uit de store knikkeren. Aan de andere kant kan ik me (met enige moeite) wel voorstellen dat een app maker de gebruikers van zijn app uniek wil kunnen identificeren. Misschien moet Google daar een api voor instellen die een uniek id voor de app genereert, zodat app bouwers niet zelf dat wiel hoeven uit te vinden.

Verder heeft Google nu al categorieen voor de apps. Misschien een idee om gradaties aan te brengen in autorisaties? Als een app in de categorie SMS tools staat, dan is de autorisatie om te kunnen SMS'en niet ondenkbaar, maar staat de app alleen in Games, dan is het juist heel heel vreemde wens. Op die manier is het wellicht gemakkelijker om de troep er uit te lichten.
29-10-2012, 14:53 door ernie
Ik mis een permissie-firewall. Oftewel, als een app teveel permissies vraagt voor wat het doet (bijv. een notepad app die je contactgegevens en foto's wil kunnen inzien, SMS'en sturen en ontvangen e.d.) dat je die alsnog selectief kunt blokkeren/scramblen (IMEI/Android-ID randomizen bijv.) @ runtime. Ik snap ook wel dat dit funest is voor het business model en dat adverteerders zo de strot wordt dichtgeknepen, maar ik ga er gewoonweg niet mee akkoord dat 3e (evt. onbetrouwbare) partijen uit winstbejag mijn data-integriteit kunnen ondermijnen.

Uiteraard kun je als de permissies je niet bevallen de desbetreffende app gewoon niet installeren, maar in mijn geval zou dat inhouden dat ik 95% van de apps ofzo niet kan installeren, toch wel jammer van dat apparaat van 500 euro.

Concreet zit ik op 2 dingen te wachten:
- permissie firewall voor granulaire controle over wat de app wel en niet kan
- (door Google?) gestandaardiseerde methodes voor het verzamelen, versleutelen en anonimiseren van (telemetrische) data voor de adverteerders. Ik ben opzich niet tegen adverteren en commercie...

Maar.... het gaat mij te ver als een of andere partij mijn telefoonnummer, pasfoto, handtekening, huisadres, pincode, schoenmaat, lengte van mijn geslachtsdeel, banksaldo en medische gegevens verzamelt en onversleuteld in een textfile opslaat en/of doorverkoopt aan de hoogste bieder.
29-10-2012, 15:42 door typecast
Door Anoniem: Bij ons lieve appeltje wordt je niet eens getoond welke rechten je zo'n applicatie geeft. Daarvoor zou je eerst je telefoon moeten jailbreaken en er een firewall tussen hangen.

Bij android is dat net ietjes anders, alleen zijn de rechten die je daar getoond worden bij het installeren net weer iets globaler. Ook daar kun je de telefoon root'n en er een firewall tussen hangen. Waarbij je er dus achter komt dat ze veel meer rechten pakken dan dat er eigenlijk gevraagd wordt.

In beide gevallen moet je alleen iets van een hobbyist zijn wil je hier iets mee doen. Ik denk dat zo'n 80% van de gebruiker van mobiele telefonie dit toch al niet is.

Bij ons lieve Appletje word elke App gecontroleerd door Apple. Dit vangt natuurlijk wel een groot deel van de zooi af.
Bovendien draait elke app in een sandbox, hierdoor word het al iets lastiger om info van je telefoon te vergaren.

Bij android staat de voordeur open in de Appstore en ook op de telefoon.
29-10-2012, 16:07 door ernie
Door typecast: Bij ons lieve Appletje word elke App gecontroleerd door Apple. Dit vangt natuurlijk wel een groot deel van de zooi af.
Bovendien draait elke app in een sandbox, hierdoor word het al iets lastiger om info van je telefoon te vergaren.

Bij android staat de voordeur open in de Appstore en ook op de telefoon.
Apple is inderdaad stricter in wat er wel en niet in de App Store mag, met zijn eigen voordelen (minder badware) en nadelen (minder vrijheid en slecht/niet onderbouwde app-weigeringen door Apple).

Maareh, Android applicaties draaien ook gesandboxed hoor. Elke app draait onder een eigen (unix) userid en heeft alleen lees- en schrijfrechten in zijn eigen map (en soms de externe sd-kaart, wat ook weer een Android kwetsbaarheid is aangezien iOS apparaten vooralsnog geen extern sdkaart slot hebben). Het probleem is dat er situaties mogelijk zijn dat een app uit zijn sandbox weet te breken d.m.v. het exploiteren van een beveiligingskwetsbaarheid in het OS zelf en dan heb je de poppen aan het dansen. Vaak is dit zelfs mogelijk op niet-gejailbreakte/geroote apparaten! Er zijn zelfs kwaadaardige apps die, als het mogelijk is, het apparaat stilletjes voor je rooten/jailbreaken om zo zelf root rechten te verkrijgen met alle gevolgen van dien.

Zowel Android als iOS zijn voor dit soort dingen ongeveer even kwetsbaar.
Het enige grote verschil is dat door de strengheid van Apple in de App Store (vooralsnog!) minder malafide apps te vinden zijn.
29-10-2012, 16:38 door intrax
Door ernie: Ik mis een permissie-firewall. Oftewel, als een app teveel permissies vraagt voor wat het doet (bijv. een notepad app die je contactgegevens en foto's wil kunnen inzien, SMS'en sturen en ontvangen e.d.) dat je die alsnog selectief kunt blokkeren/scramblen (IMEI/Android-ID randomizen bijv.) @ runtime. Ik snap ook wel dat dit funest is voor het business model en dat adverteerders zo de strot wordt dichtgeknepen, maar ik ga er gewoonweg niet mee akkoord dat 3e (evt. onbetrouwbare) partijen uit winstbejag mijn data-integriteit kunnen ondermijnen.

Uiteraard kun je als de permissies je niet bevallen de desbetreffende app gewoon niet installeren, maar in mijn geval zou dat inhouden dat ik 95% van de apps ofzo niet kan installeren, toch wel jammer van dat apparaat van 500 euro.

Concreet zit ik op 2 dingen te wachten:
- permissie firewall voor granulaire controle over wat de app wel en niet kan
- (door Google?) gestandaardiseerde methodes voor het verzamelen, versleutelen en anonimiseren van (telemetrische) data voor de adverteerders. Ik ben opzich niet tegen adverteren en commercie...

Maar.... het gaat mij te ver als een of andere partij mijn telefoonnummer, pasfoto, handtekening, huisadres, pincode, schoenmaat, lengte van mijn geslachtsdeel, banksaldo en medische gegevens verzamelt en onversleuteld in een textfile opslaat en/of doorverkoopt aan de hoogste bieder.

Op Android kun je LBE privacy guard (Free) gebruiken:

https://play.google.com/store/apps/details?id=com.lbe.security.lite

doet een vrij goeie job bij het blokken van onnodige permissies...
29-10-2012, 17:37 door ernie
@intrax Ja die had ik al eens gezien, maar was indertijd niet compatible met mijn apparaat ofzo... toch maar weer eens uitproberen, het is inderdaad wel ongeveer wat ik bedoel :)

Bedankt voor de link.
29-10-2012, 17:53 door typecast
Door ernie:

Maareh, Android applicaties draaien ook gesandboxed hoor. Elke app draait onder een eigen (unix) userid en heeft alleen lees- en schrijfrechten in zijn eigen map (en soms de externe sd-kaart, wat ook weer een Android kwetsbaarheid is aangezien iOS apparaten vooralsnog geen extern sdkaart slot hebben).
Deels waar, bij Android word er gevraagd aan de gebruiker of de applicatie toegang mag krijgen tot de telefoon, zeg je hier op ja dan is de app vrij om te doen en laten wat die wil.
Bij iOS word dit niet gevraagt, de app mag gewoon niets.
Als een kwetsbaarheid/lek in de sandbox zit dan kan er alsnog misbruik van gemaakt worden maar die kans is aanzienlijk kleiner.

Door ernie:
Zowel Android als iOS zijn voor dit soort dingen ongeveer even kwetsbaar.
Het enige grote verschil is dat door de strengheid van Apple in de App Store (vooralsnog!) minder malafide apps te vinden zijn

Dat is dus niet waar, de getallen spreken voorzich, er zijn vele malen meer virussen en malwares voor android.
En dat komt dus door bovenstaande reden. De gemiddelde gebruiker geeft de app gewoon toestemming zonder te weten waarvoor die toestemming geeft.
30-10-2012, 08:16 door Anoniem
Ik gebruik die apps niet, geen enkele, ik heb er geen boodschap aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.