Category Archives: apps

FTC TIKT ANDROID ZAKLAMP-APP OP DE VINGERS

De Amerikaanse Federal Trade Commission (FTC) heeft een zaklamp-app voor Android op de vingers getikt, omdat het de gegevens van tientallen miljoenen gebruikers verzamelde zonder dat die hier volledig van op de hoogte waren. Het gaat om de “Brightest Flashlight” app.

De gratis app, die tientallen miljoenen keren is gedownload, deelde volgens de FTC zonder medeweten van gebruikers hun locatie en toestel-ID. De FTC stelt dat het privacybeleid niet vermeldde dat de app gegevens van gebruikers aan derden doorspeelde, waaronder advertentienetwerken. Ook werden gebruikers door de app misleid.

Als de app voor het eerst werd gestart verscheen er een scherm waar gebruikers konden kiezen of ze met de voorwaarden akkoord gingen. Voordat gebruikers de voorwaarden konden accepteren had de app al de gegevens verzameld en doorgestuurd.

NEDERLANDER MAAKT ANDROID-APP DIE PASPOORTCHIP KLOONT

Jeroen van Beek een Nederlandse beveiligingsonderzoeker heeft een Android-app gepubliceerd waarmee het mogelijk is om de inhoud van paspoortchips te lezen en klonen. eCL0WN, zoals de app heet, vereist een smartphone die NFC ondersteunt en over minimaal Android 2.3 beschikt.

Near field communication (NFC) wordt gebruikt voor het uitlezen van de paspoortchip. eCL0WN kan verschillende paspoortformaten uitlezen en de data naar een emulatorchip of interne opslag terugschrijven. Volgens Van Beek is dat laatste niet erg veilig om te doen.

Niet alle Android-smartphones zijn geschikt voor deze app, zo laat de onderzoeker weten.
De antennekwaliteit van sommige Android-Smartphones soms erg slecht, zoals bij de Google Nexus S, waardoor de smartphone niet met type B ePaspoortchips kan communiceren. Deze chips worden voornamelijk in Aziƫ gebruikt. Type A ePaspoortchips zijn voornamelijk in West-Europa en de Verenigde Staten in gebruik. eCL0WN is via Google Play te downloaden.

ANDROID WEBVIEW LEK LAAT HACKERS KWAADAARDIGE APPS INSTALLEREN

WebView is een essentieel onderdeel in Android en iOS. Het maakt het voor applicaties mogelijk om inhoud van websites weer te geven en vereenvoudigt de taak van het uitvoeren van een verzoek naar een netwerk.

Vandaag meldde AVG Security experts een kritieke kwetsbaarheid in Android’s WebView waarmee een aanvaller kwaadaardige software kan installeren.

WebView maakt gebruik van een aantal APIs die kunnen interageren met de website inhoud binnen WebView. Dan krijgt de gebruiker een web-applicatie te zien die er uitziet als een gewoon Android-applicatie.

Om het lek te misbruiken, moet de aanvaller een gebruiker misleiden om een kwaadaardige link van een kwetsbare WebView applicatie te klikken die vervolgens een kwaadaardig JavaScript commando zal uitvoeren dat dan kwaadaardige software zal installeren dat sms’jes kan versturen en persoonlijke data zal stelen,

Alle applicaties die draaien op Android 4.1 of ouder kunnen deze kwaadaardige taken uitvoeren, gebruikers worden geadviseerd te updaten naar Android 4.2 of hoger.

CERTIFICATEN ZIJN NIET GENOEG VOOR MOBIEL BANKIEREN

Studenten vonden een veiligheidslek in de mobiele betalingsapp van de ABN AMRO. Het bleek dat tijdens het authenticatieproces de app alleen controleerde of er een geldig SSL-certificaat aanwezig was bij de ontvangende server. Het domeinnaam waarvoor het certificaat was uitgegeven werd niet gecontroleerd.

Als gevolg van deze opzet kon een ieder met zo’n certificaat zich voordoen als server van de ABN AMRO-bank en pincodes en rekeninggegevens van derden onderscheppen en decoderen en rekeningnummers en bedragen in transacties wijzigen. De externe server kon zich derhalve als “man in the middle” tussen de app en de bankserver gedragen.

Voor klanten was het niet te zien dat de app met een verkeerde server contact maakt. De transactie wordt zonder tussenkomst van de klant afgehandeld waardoor een controle van het SSL-certificaat zoals in de browser niet mogelijk is.

Het lek is inmiddels goeddeels verholpen.

Gevaarlijkste Android-apps

Wat zijn gevaarlijke Android-apps? Dat zijn apps die je telefoonnummer stelen en aan adverteerders verkopen. Of die je apparaat-ID stelen. Ook sturen ze je ongewenste reclame en plaatsen ze ongevraagd iconen.

De gevaarlijkste Android-app die verkrijgbaar is via Google Play is Talking Tom Cat. Deze app “zou van meer dan 50 miljoen toestellen het telefoonnummer en apparaat-ID naar derde partijen hebben gestuurd.”