NWS Nieuws & Achtergronden
Discussieer hier diepgaander over de actualiteiten.
Gevoelige data van corona-apps is toegankelijk voor voorgeïnstalleerde apps op Androidtoestellen, waarmee een privacybelofte van Google wordt gebroken. Het techbedrijf, dat al meer dan zestig dagen van het probleem weet, is naar eigen zeggen bezig met het uitrollen van een oplossing voor de bug.
Onderzoekers van AppCensus waarschuwden Google op 19 februari van dit jaar voor het probleem en gaven het techbedrijf zestig dagen de tijd om met een oplossing te komen. Nu de bug volgens hen nog steeds aanwezig is heeft AppCensus de details openbaar gemaakt. De onderzoekers deden voor het Amerikaanse ministerie van Homeland Security onderzoek naar het Google-Apple Exposure Notification (GAEN) framework.
Deze service van Apple en Google zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth corona-apps gebruikmaken. Via de apps kunnen gebruikers hun contacten bijhouden en worden gewaarschuwd wanneer ze met een coronapatiënt in contact zijn gekomen of laten weten wanneer ze zelf besmet zijn geraakt. Googles implementatie van GAEN logt belangrijke informatie in de systeemlog, waar honderden third-party apps toegang toe hebben. Het probleem speelt niet bij Apples implementatie voor iOS.
Corona-apps die van het GAEN-framework gebruikmaken versturen via bluetooth rolling proximity identifiers. Deze identifiers kunnen door andere app-gebruikers worden ontvangen en opgeslagen. Om de privacy van gebruikers te beschermen worden de uitgezonden identifiers elke vijftien minuten veranderd. De corona-app downloadt dagelijks een lijst met identifiers van besmette personen. Vervolgens kijkt de app lokaal of de gebruiker deze identifiers op het toestel heeft staan, wat een besmet contact kan suggeren.
Hierbij stelden Apple en Google dat de identifiers die de gebruiker tegenkomt nooit zijn toestel zullen verlaten. De gebruiker ontvangt dagelijks alleen een lijst met identifiers van besmette personen, maar niemand anders dan de gebruiker komt te weten of hij contact met een besmet persoon heeft gehad. In het geval van Googles implementatie van GAEN worden alle identifiers van de gebruiker zelf en die hij allemaal tegenkomt naar de systeemlog geschreven. Voor de identifiers van andere toestellen logt Google ook het bluetooth mac-adres van het zendende toestel.
Google geeft voorgeïnstalleerde Android-apps van bijvoorbeeld fabrikanten, telecomproviders en hun commerciële partners toegang tot de systeemlog. Zo kunnen deze apps zien of de gebruiker met een besmet persoon in contact is geweest of zelf besmet is. Voorgeïnstalleerde Android-apps kunnen ook toegang tot het e-mailadres en telefoonnummer van het toestel hebben en zo de gebruiker identificeren. De onderzoekers waarschuwen dat apps die de logbestanden van meerdere gebruikers kunnen lezen ook kunnen achterhalen of bepaalde gebruikers op een bepaalde tijd en locatie bij elkaar waren.
"De oplossing is in één regel te doen, waarbij je een regel verwijdert die gevoelige informatie naar de systeemlog schrijft. Het heeft geen gevolgen voor het programma en verandert niet hoe het werkt", zegt Joel Reardon van AppCensus tegenover The Markup. "Het is zo'n duidelijke oplossing dat ik verbijsterd was dat het niet zo wordt gezien."
Google stelt in een verklaring dat het enkele weken geleden begonnen is met het uitrollen van een oplossing naar Androidtoestellen en dat dit binnen de komende dagen zal zijn afgerond. Volgens het techbedrijf zijn er geen aanwijzingen dat er misbruik van het probleem is gemaakt. De onderzoekers van AppCensus stellen dat het probleem nog altijd niet is opgelost en besloten daarom de details openbaar te maken.
Bron: https://www.security.nl/p(...)lleerde+Android-apps
Godzijdank heb ik iOS en zou ik die app sowieso niet geïnstalleerd hebben.
Nog een faal van minister de Jonge.
Onderzoekers van AppCensus waarschuwden Google op 19 februari van dit jaar voor het probleem en gaven het techbedrijf zestig dagen de tijd om met een oplossing te komen. Nu de bug volgens hen nog steeds aanwezig is heeft AppCensus de details openbaar gemaakt. De onderzoekers deden voor het Amerikaanse ministerie van Homeland Security onderzoek naar het Google-Apple Exposure Notification (GAEN) framework.
Deze service van Apple en Google zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth corona-apps gebruikmaken. Via de apps kunnen gebruikers hun contacten bijhouden en worden gewaarschuwd wanneer ze met een coronapatiënt in contact zijn gekomen of laten weten wanneer ze zelf besmet zijn geraakt. Googles implementatie van GAEN logt belangrijke informatie in de systeemlog, waar honderden third-party apps toegang toe hebben. Het probleem speelt niet bij Apples implementatie voor iOS.
Corona-apps die van het GAEN-framework gebruikmaken versturen via bluetooth rolling proximity identifiers. Deze identifiers kunnen door andere app-gebruikers worden ontvangen en opgeslagen. Om de privacy van gebruikers te beschermen worden de uitgezonden identifiers elke vijftien minuten veranderd. De corona-app downloadt dagelijks een lijst met identifiers van besmette personen. Vervolgens kijkt de app lokaal of de gebruiker deze identifiers op het toestel heeft staan, wat een besmet contact kan suggeren.
Hierbij stelden Apple en Google dat de identifiers die de gebruiker tegenkomt nooit zijn toestel zullen verlaten. De gebruiker ontvangt dagelijks alleen een lijst met identifiers van besmette personen, maar niemand anders dan de gebruiker komt te weten of hij contact met een besmet persoon heeft gehad. In het geval van Googles implementatie van GAEN worden alle identifiers van de gebruiker zelf en die hij allemaal tegenkomt naar de systeemlog geschreven. Voor de identifiers van andere toestellen logt Google ook het bluetooth mac-adres van het zendende toestel.
Google geeft voorgeïnstalleerde Android-apps van bijvoorbeeld fabrikanten, telecomproviders en hun commerciële partners toegang tot de systeemlog. Zo kunnen deze apps zien of de gebruiker met een besmet persoon in contact is geweest of zelf besmet is. Voorgeïnstalleerde Android-apps kunnen ook toegang tot het e-mailadres en telefoonnummer van het toestel hebben en zo de gebruiker identificeren. De onderzoekers waarschuwen dat apps die de logbestanden van meerdere gebruikers kunnen lezen ook kunnen achterhalen of bepaalde gebruikers op een bepaalde tijd en locatie bij elkaar waren.
"De oplossing is in één regel te doen, waarbij je een regel verwijdert die gevoelige informatie naar de systeemlog schrijft. Het heeft geen gevolgen voor het programma en verandert niet hoe het werkt", zegt Joel Reardon van AppCensus tegenover The Markup. "Het is zo'n duidelijke oplossing dat ik verbijsterd was dat het niet zo wordt gezien."
Google stelt in een verklaring dat het enkele weken geleden begonnen is met het uitrollen van een oplossing naar Androidtoestellen en dat dit binnen de komende dagen zal zijn afgerond. Volgens het techbedrijf zijn er geen aanwijzingen dat er misbruik van het probleem is gemaakt. De onderzoekers van AppCensus stellen dat het probleem nog altijd niet is opgelost en besloten daarom de details openbaar te maken.
Bron: https://www.security.nl/p(...)lleerde+Android-apps
Godzijdank heb ik iOS en zou ik die app sowieso niet geïnstalleerd hebben.
Nog een faal van minister de Jonge.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Google had in het verleden regelmatig een hele grote mond over andermans bugs en dan nu opeens zelf niet thuisgeven in de meest pr gevoelige hoek die je maar kan hebben? Wat een kansloze bende.
Ze geven wel thuis, maar dat het langer duurt van 60 dagen, dus de resultaten zijn geopenbaard. Iets wat Google ook altijd doet.quote:Op woensdag 28 april 2021 14:17 schreef Glazenmaker het volgende:
Google had in het verleden regelmatig een hele grote mond over andermans bugs en dan nu opeens zelf niet thuisgeven in de meest pr gevoelige hoek die je maar kan hebben? Wat een kansloze bende.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Welk deel is een faal van de Jonge hier?quote:
Godzijdank heb ik iOS en zou ik die app sowieso niet geïnstalleerd hebben.
Nog een faal van minister de Jonge.
Heb je dit ook gelezen in je eigen artikel?quote:
[..]
Ze geven wel thuis, maar dat het langer duurt van 60 dagen, dus de resultaten zijn geopenbaard. Iets wat Google ook altijd doet.
quote:"De oplossing is in één regel te doen, waarbij je een regel verwijdert die gevoelige informatie naar de systeemlog schrijft. Het heeft geen gevolgen voor het programma en verandert niet hoe het werkt", zegt Joel Reardon van AppCensus tegenover The Markup. "Het is zo'n duidelijke oplossing dat ik verbijsterd was dat het niet zo wordt gezien."
Ja, mooi he.quote:
[..]
Heb je dit ook gelezen in je eigen artikel?
[..]
Maar dat gaat Google dus niet doen, die willen natuurlijk zorgen dat al die apps nog steeds bij de system log kunnen komen, maar dan zonder de corona app data.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Beloven dat onze privacy gegarandeerd is. Wat dus niet zo is.quote:
[..]
Welk deel is een faal van de Jonge hier?
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Ik stopte toen bij de installatie locatie moest worden ingeschakeld.
Reason is not automatic, those who deny it cannot be conquered by it, Ayn Rand
Discuseren met domme mensen verlies ik omdat ik niet genoeg ervaring heb met dom lullen.
Discuseren met domme mensen verlies ik omdat ik niet genoeg ervaring heb met dom lullen.
En zover ik kan zien is er ook niks fout gegaan op het deel waar hij iets van invloed op had. De beste man maakt blunder na blunder, maar dit is echt spijkers op laag water.quote:
[..]
Beloven dat onze privacy gegarandeerd is. Wat dus niet zo is.
Dat is niet wat er staat. Je kan ook de corona apps laten stoppen met schrijven naar dat log en dan kan de rest gewoon doorrrrr.quote:
[..]
Ja, mooi he.
Maar dat gaat Google dus niet doen, die willen natuurlijk zorgen dat al die apps nog steeds bij de system log kunnen komen, maar dan zonder de corona app data.
Minister de Jonge liet weten dat de Apps privacyvriendelijk zullen zijn en op basis van anonimiteit zullen werken.quote:
[..]
En zover ik kan zien is er ook niks fout gegaan op het deel waar hij iets van invloed op had. De beste man maakt blunder na blunder, maar dit is echt spijkers op laag water.
https://www.google.com/ur(...)YrhpH7d_B87dJYkL-oUL
Dus niet. Hij is verantwoordelijk en heeft woord te houden. Dit had gewoon onderzocht moeten worden en het bizar dat dit nu pas gevonden is. God mag weten waar al die data heen gegaan is, en bij wie het terecht gekomen is.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Google stelt in een verklaring dat het enkele weken geleden begonnen is met het uitrollen van een oplossing naar Androidtoestellen en dat dit binnen de komende dagen zal zijn afgerond.quote:
[..]
Dat is niet wat er staat. Je kan ook de corona apps laten stoppen met schrijven naar dat log en dan kan de rest gewoon doorrrrr.
Een oplossing. Niemand weet dus wat ze aan het doen zijn. Goed voor de transparantie.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Dit inderdaad. TS is spijkers op laag water aan het zoeken en denkt er 1 gevonden te hebben. Dit gezeur zal dan ook een stille dood sterven.quote:
Goed dat ze naar de bug kijken.
Desalniettemin blijf ik de app wel gebruiken.
Wat een ophef weer. Dus om dit lek te kunnen exploiten moet er dus een rogue *systeem* app (dus geen standaard app die je als gewone ontwikkelaar in de store kan aanmelden) op de telefoon geinstalleerd worden (hoe dan? via een firmware update?), die die logs doorzoekt en die app moet dan bij *meerdere* gebruikers ook geinstalleerd zijn, en dan moeten er willekeurige hashes of macadressen van BT controllers gematcht worden en dan kan men theoretisch zien "persoon A was in de buurt van persoon B" - niet WAAR ze waren maar alleen dat ze bij elkaar in de buurt waren. Maar waar men dan maar even aan voorbij gaat is dat ontzettend veel systeem apps gewoon GPS permissies hebben dus die NU AL ook zonder de corona app op een paar meter nauwkeurig de gebruiker kunnen volgen.
En dan die kneuzen die zelfs hiervan De Jonge de schuld proberen te geven, nou heb ik helemaal niks met die vent maar dit verdient ie ook niet he.
En dan die kneuzen die zelfs hiervan De Jonge de schuld proberen te geven, nou heb ik helemaal niks met die vent maar dit verdient ie ook niet he.
Yep. Schijnbaar is de Jonge naast laborant die verantwoordelijk is voor te weinig leveringen ook nog programmeur en tester van software. Die man moet bijna een superhelden status hebben bij sommige Nederlanders die hem van alles toedichten.quote:
[..]
En zover ik kan zien is er ook niks fout gegaan op het deel waar hij iets van invloed op had. De beste man maakt blunder na blunder, maar dit is echt spijkers op laag water.
Heeey verrassing! Dat riep ik al vanaf het begin.
"Ja maar het framework is veilig"
"De experts van Google hebben dit gebouwd, die weten wat ze doen"
"Wat weet jij er nou van Scheurbuik?"
Dat was toen de teneur op FOK.
I told you so.
"Ja maar het framework is veilig"
"De experts van Google hebben dit gebouwd, die weten wat ze doen"
"Wat weet jij er nou van Scheurbuik?"
Dat was toen de teneur op FOK.
I told you so.
Don't quote me boy, cause I ain't said shit!
Send Banano to: ban_1drjycsqhpwa1i4uxo1mmqau6q8gibgbn6oabtub53zpcrabjunt3uscaqty
Send Banano to: ban_1drjycsqhpwa1i4uxo1mmqau6q8gibgbn6oabtub53zpcrabjunt3uscaqty
Weinig verbazend, de privacy van de gebruiker tot handelsproduct maken is het enige bestaansrecht van Android.
De dood gaat ons niet aan. Zolang we er zijn, is de dood er niet, en wanneer de dood er is, zijn wij er niet meer.
|
|
