Phishing-applicatie Droid09: topje van ijsberg of onnodige paniek?

dinsdag, 12 januari 2010 (22:30) | Gonny van der Zwaag

androidEr is de afgelopen dagen veel te doen over een phishing-applicatie in de Android Market. Droid09 leek in alle opzichten op een onschuldige online banking-applicatie maar bleek in werkelijkheid rekeningnummers en inlogcodes te verzamelen om vervolgens rekeningen te plunderen. Door dit incident staat het soepele toelatingsbeleid van Google weer eens ter discussie. Vaak wordt dan de vergelijking gemaakt met Apple’s strenge en trage toelatingsbeleid waarbij het weken kan duren voordat een applicatie in de App Store verschijnt.

Apple’s goedkeuringsbeleid lijkt sinds 1 januari wat te zijn versoepeld: updates van bestaande iPhone-applicaties verschijnen soms al binnen 12 uur in de App Store. De Android Market werkt op een andere manier: daar worden alle applicaties goedgekeurd en wordt erop vertrouwd dat gebruikers gaan melden wanneer een applicatie niet deugt.

Graham Cluely van beveiligingsbedrijf Sophos heeft zich erin verdiept en schrijft op zijn blog:

Although malware has previously emerged for jailbroken iPhones (such as the infamous Rick-rolling Ikee worm) the malicious applications have not made it onto users’ iPhones via Apple’s highly guarded App Store.

The Android marketplace, however, is not as closely monitored as Apple’s equivalent, and adopts a more ‘anything goes’ philosophy. This, combined with the current buzz around new phones running Android such as the Google Nexus One, may make the platform more attractive to cybercriminals in future.

Het is dus oppassen als je een Android-applicatie installeert waarbij je persoonlijke gegevens moet invullen. Toch moeten we het gevaar niet overdrijven: afgelopen augustus maakte Google bekend dat er op dat moment 6.000 applicaties beschikbaar waren in de Android Market, waarvan gemiddeld 1% wordt afgekeurd (ter vergelijking: Apple maakte op hetzelfde moment bekend dat ze 20% van alle applicaties afkeuren). Beide bedrijven moesten de cijfers vrijgeven op gezag van de FCC, maar ze hebben sindsdien geen nieuwe cijfers meer naar buiten gebracht. De procedure bij Google werkt als volgt: zodra meerdere mensen een applicatie als gevaarlijk of ongepast hebben gemarkeerd bekijkt een Google-medewerker de situatie. Indien nodig wordt de applicatie binnen drie dagen verwijderd uit de Android Market. Het goedkeuringsproces bij Apple werkt als een black box: er zijn wel regels waaraan de applicaties moeten voldoen, maar er worden ook wel eens onvoorspelbare criteria gehanteerd.

Volgens een ander beveiligingsbedrijf, F-Secure, heeft de ontwikkelaar die Droid09 in de Android Market zette bijna 40 varianten van dezelfde applicatie uitgebracht, allemaal gericht op een andere bank.

Categorie(ën): beveiliging & hacken
Vorige nieuwsitem Volgende nieuwsitem

10 reacties op “Phishing-applicatie Droid09: topje van ijsberg of onnodige paniek?”

↓ Meteen naar reactieformulier

  • ↑ top
    roy zei op 13 januari 2010 om 00:23

    Het is ook gewoon best simpel. Apple beschouwt zijn gebruikers als imbecielen en Google beschouwt die van hun als gemiddelde gebruikers.

    Apple vindt het daarom nodig om de “even apeldoorn bellen applicatie” (waarbij je bij het openen je beeld ziet ‘breken’, de letters vallen en dan een boodschap met apeldoorn bellen), aangezien dit verwarrend is voor de simpele zieltjes met de appel-telefoontjes.
    Goed, dat is een beleid, maar indirect betaal je daar toch voor (bijvoorbeeld doordat apple 30% van verkopen pakt).

    Google besteedt er geen tijd en geld aan en daarom is het goedkoop en kan alles. Ik betaal liever die 50e niet en check zelf wel of ik de gedownloade flashlight internet toegang en toegang tot mijn contactenlijst geef…

  • ↑ top
    Eric zei op 13 januari 2010 om 07:58

    Het is een goede zaak dat je bij installatie van een Androidapplicatie ziet waar de app toegang toe heeft. Helaas is de internettoegang voor zeer veel apps een logische permissie, maar kan de applicatie inderdaad vervolgens dit soort enge dingen doen. Zo kan een Twitter app/widget je wachtwoord opslaan en misbruiken.

    Dit pleit dus voor een aantal zaken. 1) Je moet als gebruiker heel goed oppassen 2) Open-source apps kun je lettelijk doorlezen en zijn dus veiliger 3) Google zou een soort authorisatie moeten invoeren waarmee apps gewhitelist kunnen worden

    Zowel gebruiker, ontwikkelaar als google kunnen hier dus wat aan doen (alhoewel2)) lastig is voor paid apps)

  • ↑ top
    wouzer zei op 13 januari 2010 om 08:02

    Een stukje eigen verantwoordelijkheid van de gebruiker is inderdaad wel op zijn plaats.

    Applicaties klakkeloos installeren zonder zijn permissies te controleren is helaas wel wat de gemiddelde gebruiker doet.

  • ↑ top
    Herman zei op 13 januari 2010 om 08:31

    Sorry maar hoe dom ben je als je een bankapplicatie van een onbekende uitgever vertrouwd? Beter nog, elke bankapplicatie die niet rechtstreeks van je eigen bank komt zou je niet eens moeten overwegen.

    Als ik op straat wordt opgelicht ga ik toch ook niet klagen bij de gemeente? Oke dat kun je natuurlijk er niet mee vergelijken…

    Het zou een goed idee zijn als alle apps goed werden getest, maar dat kost nu eenmaal een hoop geld, en daar moet de ontwikkelaar dan in eerste instantie waarschijnlijk voor opdraaien. Dat maakt applicaties maken op de Android minder aantrekkelijk, vooral voor beginners, en zorgt ervoor dat de Android Market niet de drie miljoen apps krijgt die het blijkbaar moet hebben om te kunnen ‘concurreren’ met de markt van apple. Ik zie nog steeds niet in waarom meer apps als een pluspunt wordt gezien, maar ja.

    Als beginnend ontwikkelaar ben ik wel blij dat de Google Market zo toegankelijk is. Verantwoordelijkheid van het installeren van apps ligt bij de gebruikers. Let een beetje op wat je installeerd en er kan je niks gebeuren, maar blijkbaar schuiven veel mensen die verantwoordelijkheid af op Google.

  • ↑ top
    Willem zei op 13 januari 2010 om 09:41

    Ik vind ook dat gebruikers beter moeten opletten. Maar in dit geval kunnen ook banken meehelpen, door ervoor te zorgen dat ze zelf met een app komen. Welke duidelijk van henzelf afkomstig is. Elke gebruiker zo eerder voor zo’n applicatie gaan, dan een app van derden. Waarom je voor bankinfo sowieso derden vertrouwd is mij al helemaal een raadsel. (Behalve als het OSS is, waarbij je zelf even checkt of er geen gekke dingen gebeuren)

  • ↑ top
    joey zei op 13 januari 2010 om 10:17

    Ondanks dat ik Apple zijn aanpak veel te streng vind, oogt die van Google mij te losjes . beter zou het zijn wanneer er een approved by google signatuur komt . dit zijn dan apps die google wel getest heeft en goedgekeurd. hierdoor krijg je een duidelijke scheiding tussen betrouwbare apps en experimentele/onbetrouwbaare apps.
    of als Google dit niet. doet , dan moeten we het misschien zelf doen !

  • ↑ top
    Ekko zei op 13 januari 2010 om 12:51

    Waarom zou je in godsnaam bankzaken regelen op je mobiel en al helemaal met zomaar een onbekend programmatje?
    Dan vraag je er ook gewoon om.

  • ↑ top
    Rob zei op 13 januari 2010 om 14:46

    In mijn ogen zijn een paar bovenstaande reacties kort door de bocht. De vraag wordt hier ter discussie gesteld of de Android Market vaker slachtoffer van malafide programma’s kan zijn dan de iPhone Appstore. Ik denk van wel.

    Het is erg makkelijk om te zeggen dat gebruikers zelf moeten checken, maar iedere android applicatie heeft Internet-toegang (wordt aangeraden door Google ivm zoeken naar updates) en kan dus potentieel gegevens doorsturen naar een server zonder dat de gebruiker dit weet. Als gemiddelde gebruiker zal een open-source programma ook niet te lezen zijn (niet iedereen snapt java of een andere programmeertaal), en dus eigenlijk helemaal niet te controleren.

    Het idee van Eric om een whitelist te creeeren van gecheckte en niet-malafide bevonden applicaties vind ik een goede… Google hoeft dit naar mijn mening niet zelf te doen, maar kan worden uitbesteedt aan een (trusted) third party. Voor ontwikkelaars zou het alleen maar een extra motivatie zijn om schoon, begrijpelijk en solide te programmeren. Zij hebben er immers baat bij om whitelisted te zijn.

  • ↑ top
    Eric Kok zei op 13 januari 2010 om 18:03

    Veel mensen kijken inderdaad nooit naar de permissies die een app vraagt. Soms is het ook moeilijk inschatten, want hoe weet je zonder het te installeren of een Twitter app interdaad de toegang tot je contactenlijst nodig heeft. (Om een lijst te geven van mensen die ook Twitter hebben; het is maar een voorbeeld.) Een app die internet- en contactlijstpermissie heeft kan zo je hele adresboek naar een server (of publiek op Twitter ofzo) sturen.

    Je nooit je bankzaken mobiel moet regelen is dan weer te sterk. Je internetbankieren website op je telefoon gebruiken is niet onveiliger dan via je desktop.

Trackbacks/Pingbacks

  1. Data Privacy Day | GeekFM
Reacties zijn gesloten.
Raad ons ook aan op Google
Er zijn nu 67 bezoekers online (update elke 5 minuten)
moveexpand

Laatste reacties

Links

Archief

  • 2012136
    • februari22
    • januari114
  • 20111895
  • 20101592
  • 20091149

Adverteren op Planet Android via AdFactor
Gerelateerde berichten
17-8-2010Android-applicatie geeft stiekem jouw locatie door4 reacties
28-8-2010Stabiele versie van CyanogenMod 6 uitgebracht15 reacties
16-2-2011Release candidates van CyanogenMod 7 uitgebracht19 reacties
28-11-2010Cyanogen Mod introduceert lockscreen gestures6 reacties
8-10-2010Universal Androot: je Android-telefoon rooten in één klik34 reacties
1-6-2011Malware BaseBridge verborgen in ruim 20 Android-apps7 reacties
8-8-2010Piraterij in de Android Market: boeken voor spotprijzen2 reacties
24-8-2010Licentiesysteem Android Market is makkelijk te kraken4 reacties
25-6-2010Google verwijdert Android-applicaties op afstand6 reacties
11-10-2010RageAgainstTheCage unlockt je Samsung Galaxy S in één klik7 reacties

De logo's en de merk- en productnamen Android en Google zijn eigendom van
Google. AndroidPlanet.nl is © 2008-2012, Textopus. Alle rechten voorbehouden.

ONSTUIMIG