[img=right]http://www.macfreak.nl/base/data/news/images/AndroidRobotAlleen.jpg[/img]We hebben al het een en ander bericht over Carrier IQ en de mogelijke ellende die dat programma met zich meebrengt. Daarover is trouwens op deze pagina van The Verge nog veel meer te lezen.

Maar Carrier IQ claimt zelf dat het allemaal onschuldig is, en is in ieder geval niet aanwezig op Android telefoons die bij ons verkocht worden. Het zijn de telecom providers in vooral de V.S. die er gebruik van maken.

Maar dat is nog niet alles, inmiddels blijkt uit onderzoek van de North Carolina State University dat er een nog veel groter probleem is aangetroffen op Android. En dit keer gaat het niet om programmatuur van derden, maar om een slecht afgeschermd gedeelte in Android zelf.

De problemen komen in ieder geval voor op Android telefoons van HTC, Samsung, Motorola en Google. Daarop staat code die erg grote mogelijkheden geven aan apps van derden, waar een gebruiker helemaal geen weet van hoeft te hebben. In onderstaande video kan je zien wat er aan de hand is.





Google en Motorola hebben in ieder geval snel gereageerd en laten weten dat dit probleem inderdaad op hun telefoons aanwezig is. HTC en Samsung hebben nog niets van zich laten horen. Hierover zeggen de onderzoekers:

… have been really slow in responding to, if not ignoring, our reports/inquiries

Daarbij was HTC het meest onveilig, want het veiligheidsprobleem ontstaat bij de communicatie tussen het besturingssysteem zelf en de grafische interface die de fabrikanten daarboven leveren. En de grafische interface van HTC bevat kennelijk de meeste gaten.

De onderzoekers hebben alleen deze vier merken onderzocht, ze waarschuwen dat andere merken ook last zouden kunnen hebben van deze veiligheidsproblemen.


bron: The Register

Ben nu wel benieuwd naar de reacties van Anroid liefhebbers...wat zou hun verklaring kunnen zijn?

Ik lees regelmatig forums over Android en Apple wordt daar zo erg afgekraakt elke keer. En dat zogenaamde "gesloten" systeem is ook helemaal niets, je kunt en mag niets zelf aanpassen en bla bla...ze hebben overal een antwoord op.

Ik had het wel verwacht dat de problemen qua veiligheid op Android telefoons vele malen groten zouden zijn als op de iPhone.

Ben nog steeds een happy iPhone gebruiker.

Ik blijf erbij: iOS en WP7 zijn simpelweg beter. Ik heb dat Android nooit interessant gevonden. (Tenzij ik een malware-writer zou zijn natuurlijk... )

Als iOS gebruikers moeten we ontzettend blij zijn met de populariteit van Android: daar gaan de malware makers zich op concentreren. Net als bij Win vs Mac OS X: laten zij maar de meest populaire zijn, wij hebben de veiligste!

Ik wil die reacties wel even opsommen: het wordt overdreven, voordeel van open source dat men dit kan ontdekken, je kunt je telefoon rooten en vervolgens allerlei ingewikkelde unix commans uitvoeren om dit te verhelpen, Apple is alleen maar marketing, iOS gebruikers zijn dom en de rest van het riedeltje...

(Bewerkt door Blender om 13:05, 6-12-2011)

Blender om 11:58, 6-12-2011
iOS gebruikers zijn dom

Maar dat is toch ook zo? Ik ben dom, maar wel heel erg gelukkig (ook met mijn iDevices).

Normaal gesproken ben ik altijd meewarig als "onderzoekers" weer allerlei lekken ontdekken. Maar wat deze gewone stervelingen aantonen, is geen 'lekje' maar een absolute "proof of concept", dat te wachten zit op talloze "exploits" en een niet te overziene schade aan apparatuur, data en privacy.

Mijn hemel, dat Android wordt echt zo brak als Windows ooit was (en nog steeds goeddeels is). Met dat soort risico's gaan mensen nooit vertrouwen op hun mobiele apparatuur, terwijl dat juist het doel is; altijd alles bij de hand hebben, ook de riskantere informatie. Maar dan wèl veilig, a.u.b. !!

Laat die Android-eigenaren maar aanklooien. Òf ze halen als leek toch niet de beste ervaring uit hun spulletjes (heb nog nooit een doorsnee Android-gebruiker horen vertellen hoe ze al hun spullen in sync houden), òf ze zijn lekker technisch ermee bezig en vinden dit soort lekken slechts akkefietjes.

Dan zal er morgen wel een nieuwbericht komen met "iOS" bevat ook een lek  

Was de vorige keer ook op die manier.



En ik ga wel met Robert mee, laat mij dan ook maar dom zijn. Als mijn neefje van bijna 2 jaar direct in de gaten heeft wat de bedoeling is bij het zien van een iPhone scherm dan geeft mij dat weer hoop.

Het leukste vind ik altijd als mensen alle onderdelen van een Apple product los gaan bestellen en dan zeggen dat hun iProduct zonder marketing 165,- goedkoper is dat waar Apple ze voor verkoopt!



@ Peter V.
Gebruikt jij een RSS Reader van derde waar je alle RSS kunt bundelen of gewoon de functie van Safari -/Mail ?


(Bewerkt door Shmoo om 12:59, 6-12-2011)

@ Schmoo: De 'vorige keer' was er ook sprake van het gebruik van Carrier IQ bij Apple, maar dan wel in een veel onschuldiger vorm. De vraag bij het verhaal van Carrier IQ was sowieso in hoeverre dat in praktijk schade kon berokkenen, en dat is nog steeds niet duidelijk.

In dit geval gaat het (zoals Peter ook al opmerkt) op een veiligheidslek zo groot als de Mount Everest, en dat heeft o.a. te maken (ook in het gelinkte artikel te lezen) met de aanpak van Android.

Google heeft het 'open' een tijd lang als marketing-mantra kunnen gebruiken, maar het is maar de vraag of dat zo'n goed idee is bij een mobiel besturingssysteem...

Shmoo om 12:57, 6-12-2011
En ik ga wel met Robert mee, laat mij dan ook maar dom zijn. Als mijn neefje van bijna 2 jaar direct in de gaten heeft wat de bedoeling is bij het zien van een iPhone scherm dan geeft mij dat weer hoop.

Dat is ook zo mooi van die iOS devices: ze zijn zo laagdrempelig en hebben een hoge aaibaarheidsfactor.

Is dit niet gewoon een soort van rooten/modden oftewel het benutten van mogelijkheden met behulp van dit soort gaten en kieren? Zo heeft m'n HTC Desire standaard geen mogelijkheid tot het opnemen van beide kanten van een telefoongesprek. Door middel van kernelaanpassingen en een opneem app kan ik wel beide kanten in glasheldere kwaliteit opnemen. Ik maak gebruik van die mogelijkheid omdat ik nogal eens met bepaalde (bureaucratische) instanties bel.

iPoemelke om 11:42, 6-12-2011


Ik had het wel verwacht dat de problemen qua veiligheid op Android telefoons vele malen groten zouden zijn als op de iPhone.

Android telefoons zijn talrijker en door het gebrek aan filter op de app store makkelijker te infecteren. Tel daarbij op dat hackers in de Android broncode kunnen gaan spitten om hacks te vinden, en je hebt een flink securityprobleem...

De iPhone heeft ook problemen hoor: iedere jailbreak is eigenlijk een bug waarmee roottoegang verkregen kan worden, en een hacker dus ALLES kan op je telefoon. Er zijn gewoon veel minder manieren om hier misbruik van te maken zonder dat de gebruiker dit doorheeft...

En er is minder interesse naar omdat Androids een makkelijkere prooi zijn...

Hoe kan dit ook anders, HTC, Nokia, Motorola, Samsung, en nog twintig-tal van die merken stopt Android 2, 3 , 4 ,5 of zoiets in hun toestellen, alle nog eens aangepast naar hun kleur, vorm, toontje, scrolke, puntje enzo. Eén en al kakofonie is voor problemen zoeken... ik zeg, laat ze maar doen... mijn keuze is momenteel Apple.

(Bewerkt door DJAN om 15:34, 6-12-2011)

Zeef om 14:32, 6-12-2011
De iPhone heeft ook problemen hoor: iedere jailbreak is eigenlijk een bug waarmee roottoegang verkregen kan worden, en een hacker dus ALLES kan op je telefoon. Er zijn gewoon veel minder manieren om hier misbruik van te maken zonder dat de gebruiker dit doorheeft...

Dat is wel een héél erg kromme vergelijking. Het gaat hier om gaten die door een 'foute' app misbruikt zouden kunnen worden. Dat is wel iets heel anders dan bugs waardoor je kunt jailbreaken, want dat kan alleen als je de iPhone fysiek in handen hebt (uitzondering waren de jailbreakme.com gaten, maar die waren dan ook al heel erg snel door Apple gedicht).

Waarom is deze vergelijking krom ?

Met een jailbreak kan je admin-rechten behalen waardoor je alles op die telefoon kan doen; de meeste exploits voor Android werken ook volgens dit principe... Ik heb in mijn vorige post ook vermeld dat de meeste kwetsbaarheden die voor jailbreaks gebruikt worden, niet gebruikt kunnen worden om je telefoon te hacken via een malware app, maar er zijn er wel bij waar dit zo is. En hoe dan ook zijn het gaten in de iPhone beveiliging; dit was waar ik naartoe wou...

Het blijft een feit dat Android-gebruikers zich veel meer zorgen moeten maken dan iPhone-gebruikers, maar op vraag van iPoemelke wou ik dit toch nog eens aankaarten.

@zeef

Dan moet ik mijn iPhone jailbreaken en dat doe ik niet dus de vergelijking gaat voor mij dan niet op.

@ Zeef: de methode in het nieuwsbericht werkt op een 'gewone' versie van Android en is dus niet te vergelijken met een aangepaste (lees: jailbreak op iOS of ge-root op Android). Daarom gaat je vergelijking volgens mij mank.

Dat betekent ook dat met deze methode kwaadwillende van alles van Android-toestellen van 'gewone' gebruikers kunnen stelen, heeft niets te maken met het halen van gegevens van toestellen die door de gebruikers zelf zijn aangepast, waarmee ze (als hert goed is) weten dat ze extra risico lopen...

Ha sorry, ik heb mezelf slecht uitgedrukt.

Ik bedoel de jailbreak zelf niet, maar de bugs die een jailbreak mogelijk maken. Bij een jailbreak wordt deze bug gebruikt om Cydia te kunnen installeren. Stel dat de details van de bug bekend raken, dan is het perfect mogelijk dat iemand deze bug gebruikt om een scriptje op je iPhone te installeren dat al je toetsaanslagen opneemt. Of iets ergers...  

Natuurlijk, zoals Robert zegt zijn de meeste bugs niet bruikbaar om malware geïnstalleerd te krijgen, maar sommigen (zoals die jailbreakme.com bug) dan weer wel...

Voor een jailbreak van je iPhone of ander iDevice kies je, bewust, wetende (hoop ik) dat je iets doet wat Apple liever niet wil en waardoor je (zonder speciale maatregelen) een makkelijke prooi bent voor malafide grapjassen. Om je Android bloot te stellen aan gevaren hoef je niks ongeoorloofds te doen.

@Schmoo: ik weet niet welke onderdelen jij waar kan bestellen om een iPhone na te bouwen. Veel van de chips en materialen zijn custom-designed en -manufactured, dus niet eens legaal te koop.

Verder gebruik ik geen RSS. Wat gaf je die indruk ?

Een jailbreak voer je uit om je foon meer mogelijkheden te geven. Het is wel jammer om dan gelijk ook lekken te hebben. Heb je genoeg aan wat Apple erin heeft gestop dan moet je niet jailbreaken. Maar er zullen altijd mensen zijn die meer willen.

@ Zeef: maar behalve de jailbreakme.com bugs (en dat waren er maar twee volgens mij) heb je voor alle andere fysieke toegang tot een iDevice nodig. Daar is hier geen sprake van.

Verder waren die bugs door Apple steeds erg snel verholpen, waardoor het 'gewone' publiek er nooit last van heeft gehad. Dat is hier natuurlijk nog maar afwachten, er is in ieder geval sprake van meerdere bugs. Verder zijn de expoits al werkend, ook dat is bij het iOS nog nooit sprake van geweest.

De onderzoekers noemen dan ook niet voor niets apart de zwaktes van het model waar Google voor gekozen heeft...

Peter Villevoye om 21:50, 6-12-2011


Verder gebruik ik geen RSS. Wat gaf je die indruk ?

Vroeger heb ik je ooit hier horen zeggen dat je bepaalde sites las via de RSS feeds.
En aangezien ik toen nog niet wist wat RSS was ben ik daarop gelijk gaan speuren om erachter te komen wat het was en hoe het werkte.  Vandaar dat ik het ook onthouden heb.

En ik was toevallig op dit moment aan het kijken of er leuke apps te vinden waren die bepaalde dingen bundelen, zoals, Tweets, RSS Feeds en Facebook updates allemaal bij elkaar in één App.

Ach ja, vroeger...  
Ooit gebruikte ik nog pen en papier,
en een zakdoek om je neus te snuiten
als je last van een virus had...
En nu weer on-topic !