image

Google waarschuwt voor Android-apps die zonder toestemming data verzamelen

zondag 3 december 2017, 08:33 door Redactie, 26 reacties

Google gaat Android-gebruikers waarschuwen voor apps die zonder toestemming persoonlijke data verzamelen. Apps die apparaatgegevens of persoonlijke informatie verwerken, zoals telefoonnummer of e-mailadres, moeten dit aan gebruikers melden en hun eigen privacybeleid aan de app toevoegen.

Wanneer een app persoonlijke data verzamelt en verstuurt en deze data niets met de functionaliteit van de app te maken heeft, moet de app nadrukkelijk van tevoren aan de gebruiker aangeven hoe zijn gegevens worden gebruikt en moet de gebruiker hier toestemming voor geven. Deze eisen gelden voor alle functies van de app. Bijvoorbeeld in het geval van analytics of crashrapportages mag de lijst van geïnstalleerde packages die niets met de app te maken, niet worden verstuurd zonder dat de gebruiker hierover is ingelicht en hij zijn toestemming heeft gegeven.

Deze eisen gaan gelden voor apps in zowel de Google Play Store als daarbuiten. Het nieuwe beleid gaat over 60 dagen in en zal ervoor zorgen dat Android-gebruikers een waarschuwing te zien krijgen bij apps en websites die naar apps leiden die zonder toestemming data verzamelen.

Reacties (26)
03-12-2017, 09:43 door karma4
Om dat te kunnen doen moet google aan telemetry doen ofwel het verzamelen van de gegevens die applicaties verzamelen.
Voor degenen die er niet in thuis zijn. Het stamt al uit mainframe tijd, oner de 128 des IBM daarboven voor de third parties. https://www.ibm.com/support/knowledgecenter/SSLTBW_2.1.0/com.ibm.zos.v2r1.ieag200/records.htm
En als je het met java doet dan zie je veel https://logging.apache.org/

Elke security is gek op de sporen die achtergelaten worden een IDS kan niet zonder. https://blogs.cisco.com/security/a-quick-guide-to-quic
03-12-2017, 10:58 door Anoniem
Google duld geen concurrentie, ze betichten andere ervan te doen wat e zelf deden en nog doen.
03-12-2017, 11:33 door Anoniem
Gaan ze ook de reeds geinstalleerde apps scannen?
03-12-2017, 11:35 door Anoniem
Door karma4: Om dat te kunnen doen moet google aan telemetry doen ofwel het verzamelen van de gegevens die applicaties verzamelen.
Voor degenen die er niet in thuis zijn. Het stamt al uit mainframe tijd, oner de 128 des IBM daarboven voor de third parties. https://www.ibm.com/support/knowledgecenter/SSLTBW_2.1.0/com.ibm.zos.v2r1.ieag200/records.htm
En als je het met java doet dan zie je veel https://logging.apache.org/

Elke security is gek op de sporen die achtergelaten worden een IDS kan niet zonder. https://blogs.cisco.com/security/a-quick-guide-to-quic

oner de 128 des IBM? Kun je me uitleggen wat dat betekent?
03-12-2017, 12:17 door Anoniem
Ik merk het al. Geen Windows meer dus zal ik Apple moeten gaan nemen om deze spyware systeem te kunnen ontwijken.
03-12-2017, 12:18 door quikfit
''Google waarschuwt voor Android-apps die zonder toestemming data verzamelen''

Google test dus (nog) niet de Apps die ze aanbieden in de PlayStore...dit zou gewoon moeten zijn.
03-12-2017, 12:21 door Anoniem
Oh geweldig, Google gaat dan ook stoppen met ongevraagd verzamelen van data of toch niet? Iets met ketel en pot met wat verwijten en zo.
03-12-2017, 12:34 door -karma4 - Bijgewerkt: 03-12-2017, 12:35
Door Anoniem:
Door karma4: Om dat te kunnen doen moet google aan telemetry doen ofwel het verzamelen van de gegevens die applicaties verzamelen.
Voor degenen die er niet in thuis zijn. Het stamt al uit mainframe tijd, oner de 128 des IBM daarboven voor de third parties. https://www.ibm.com/support/knowledgecenter/SSLTBW_2.1.0/com.ibm.zos.v2r1.ieag200/records.htm
En als je het met java doet dan zie je veel https://logging.apache.org/

Elke security is gek op de sporen die achtergelaten worden een IDS kan niet zonder. https://blogs.cisco.com/security/a-quick-guide-to-quic

oner de 128 des IBM? Kun je me uitleggen wat dat betekent?

Oh? De rest begrijp je wel? (Volgens mij staat er alleen maar onzin)
03-12-2017, 13:29 door Anoniem
Karma tikt sneller dan het geluid waarschijnlijk op zijn android. Volgens mij moet "oner" 'onder zijn.
De rest is ook voor mij zeer onduidelijk. Hij had beter het protocol kunnen aanhalen, waar het duidelijker staat.

@karma4 Heeft iemand bij jou wel eens dyslexie vastgesteld? Geeft niet, hoor, want je bent vast niet en ook "rekendoof",
maar je spelling is allerbelabberdst. Neem wat meer tijd. Je bent hier op security.nl niet alleen. Er zijn er hier ook die elk woord buiten het groene boekje aanhalen als het ze zo uitkomt tegen de strekking van een verhaal in en dan gaan zwaaien met wat de "Onze Taal" club er van vindt, maar dat is tegen de poster gericht meestal.

Ik zeg dit alleen maar met de beste bedoelingen, geloof me, want je weet hoe zeer ik je bijdragen en inzichten waardeer! Ik moest spelling in 1 vakantie leren, anders kreeg ik mijn diploma docent niet.

@ THE FOSS. Wij geven onze BOM studenten (bijzondere omstandigheden) altijd een extra 20 minuten op 1 vol uur tentamentijd. Spellingcorrectie achteraf kan helpen in zulke gevallen. Snap niet hoe karma4 door de '0'-toetsen Nederlands is gekomen overigens. Schrijf duidelijk en leesbaar, anders wordt het niet beoordeeld!

Terug ter zake (on-topic):

Wat telemetrie vergaren betreft heeft Google kennelijk andere opvattingen als wat zij van zowel de legale of illegale concurrentie verwacht.

Te groot kennelijk om eens, goed flink aan de oren getrokken, dit ingepeperd te krijgen, maar als het product dat niet en masse doet en ze het in hun inkomensstromen goed gaan voelen, gebeurt er echt verder niets en zien ze het alleen als aanmoediging of bevestiging dat ze goed bezig zijn. Alleenvertoningsrecht zien te krijgen is mooi.

Google en facebook al groot genoeg om op te splitsen en zoals een hoogleraar beweert ook nodig omdat anders elke prikkel tot innovatie wegvalt. Maar ja met het protectionistische en fascistoïde beleid in de USA is daar voorlopig weinig kans op. Multinationals rule, but do not rock! Ik blokkeer alles van Google en zit constant (nu ja, te vaak) te kijken naar een 'consent' scherm, waarop ik akkoord moet gaan met hun voorwaarden (tot tracken en profileren van alles wat ik online doe).

Er komen nog veel meer 2 fase-captcha's aan en niet alleen met uw gezichtsfoto in profiel. Voorspel ik.

Gegroet,

Joducus Oyevaer (nick)
03-12-2017, 15:15 door karma4
Door The FOSS:
Oh? De rest begrijp je wel? (Volgens mij staat er alleen maar onzin)
Aha een gepikeerde gelovige. Geen probleem het verschil: ik kan met inhoudelijke onderbouwing komen.
De afkorting IDS Intrusion Detection System ken je hopelijk als security geïnteresseerde.

Door Anoniem: onder de 128 des IBM? Kun je me uitleggen wat dat betekent?
Eenvoudig, elk record heeft een vast structuur in de opmaak, het begint met een vaste header die aangeeft waarover het gaat. Voor het onderscheid waarover is er maar 1 byte voor opgezet (ons bint zunig). Met 1 byte kun je 256 waardes unsigned integer weergeven. IBM heeft daarvoor 0-127 voor zichzelf vastgezet (OS time en tools) en 128-255 voor de anderen vrij gelaten. RACF (het security tool van IBM) 80 81 83, record types 20 30 kun in de link verder vinden het is een session (step). https://www.ibm.com/support/knowledgecenter/SSLTBW_2.1.0/com.ibm.zos.v2r1.icha300/smfrec.htm

Ga je naar een concurrent zoals CA en neem een releasemanagemetn (Endevor) Voor Racf had je ACF2 als optie. https://docops.ca.com/ca-endevor-SCM/18-0/en/administrating/smf-recording#SMFRecording-EnableSMFRecording De default is 230 (kan de sysprog admin veranderen). Endevor is het releasemanagement van CA om programma's gecontroleerd over te krijgen. Door het loggen / monitoren kun je een onafhankelijke audit op veranderingen neerzetten.
De auditor heeft genoeg aan deze informatie en hoeft geen code door te gaan werken.

Dit soort kennis is gangbaar voor de specialisten die hiermee gewerkt hebben.
Kan weinig kwaad om te delen omdat er van buiten toch weinig mee gedaan kan worden. Tenzij je het herkend in een S3 bucket.

De link naar Apache is die naar de java implementatie ARM logging log4j. Degenen die bezig zijn met iets te analyseren om werkende te krijgen hebben grote kans het tegen te komen.
Omdat java en apps programmeer frameworks allemaal heel erg op elkaar lijken kun je aannemen dat er bij Google dat er ook inzit. Het artikel noemt verhult die functionaliteit.
03-12-2017, 21:40 door -karma4 - Bijgewerkt: 03-12-2017, 21:45
@karma4 Ik geloof allang niet meer in Sinterklaas hoor! Dus noem mij s.v.p. geen gepikeerde gelovige!

Verder presenteer je een geweldig stukje historie maar nu nog de relevantie in de context van deze thread.
03-12-2017, 22:54 door Anoniem
Zoek eens even de apps met AdMob en die met zowel AdMob en MoPub, die locatie data en apparaat of mobiel netwerk data verzamelen. SDK integreren van persistente advertenties: https://github.com/mopub/mopub-android-sdk

Dit zijn juist veelal beveiliging- en reiniging-apps - bij voorbeeld Clean Master, App Lock, de Avast Mobile Security apps suite.
Ze vragen wel toestemming voor wat ze doen, maar juist het sturen van "interstitial ads" is de extra component.

Op Android betekent het uitschakelen hiervan meestal betalen voor de app, of iets gebruiken als android breed Blokada
van buiten de Webshop (daar Google bepaalde apps niet daar op wenst te nemen, omdat ze conflicteren met hun core business, 'kuch' eufemistisch "gebruik(er)svoorschriften" genoemd.

En je mag Google op het eigen OS niet ijdellijk gebruiken.
03-12-2017, 23:12 door Anoniem
Door Anoniem: Ik merk het al. Geen Windows meer dus zal ik Apple moeten gaan nemen om deze spyware systeem te kunnen ontwijken.

Ga lekker je gang. Heb je enig idee wat apple verzameld, als ze niet bezig zijn wachtwoord issues op te lossen? Een ding scheelt wel, ze zeggen dat ze het beveiligen en anonimiseren.
04-12-2017, 06:51 door karma4
Door The FOSS:
Verder presenteer je een geweldig stukje historie maar nu nog de relevantie in de context van deze thread.
De relevantie is dat Google om te weten wat die andere applicaties zo'n eigen telemetry systeem zoals dat goed beschreven smf moet hebben.
Je weet niet wat je niet weet. Als je iets kunt meten heb je of die gegevens of de indicatie er over dat er wat gebeurt. Daarvoor hoef je nog niet de volledige inhoud te hebben.

Met log4j en aanverwante zaken mis je de volkedige documentatie. Hwt wordt vaak agile ingeboud. Dat houdt in als een developer het nuutig of nodig vindt of juist niet.

Het belangrijkste is je moet niet alles zo maar geloven. Je moet ds juiste vragen zien te stellen.
In dit geval: hoe weer google wat anderen doen?
04-12-2017, 07:11 door Legionnaire - Bijgewerkt: 04-12-2017, 07:27
Door The FOSS: @karma4 Ik geloof allang niet meer in Sinterklaas hoor! Dus noem mij s.v.p. geen gepikeerde gelovige!

Verder presenteer je een geweldig stukje historie maar nu nog de relevantie in de context van deze thread.

Voor de twijfelaars of de ontwetenden wat betreft de theorie van @karma4, raad ik hen ineens aan om zich te verdiepen in Gnome.

Installeer bv de desktop versie of de mobiele versie en zie wat er verborgen op de achtergrond zich allemaal verborgen afspeelt.

Wie er bv toegang hebben (onder Acounts) en beheren ze je systeem al.
Waar maken ze gebuik van....bv Webkit, Apache, welke Java apps.
Hoeveel data verkeer is er, wat wordt er verstuur en waar na toe of vanaf.

Ook is hier te zien, hoe en waar men ongezien veranderingen aanbrengt om verbinding te maken, meestal via een verborgen Wifi verbinding izm Bluetooth.
Tevens maakt men onder Android gebruik van Peep, want hier worden alle gebruikersnamen en wachtwoorden die men gebuikt opgeslagen en op afstand uitgelezen en tevens maakt men ook gebruik van NLxt9 om mee te kunnen kijken op je scherm en te zien wat men intypt of opstart.

Kijk ook of er een verborgen partitie is aangemaakt in Kali Linux.

Mocht men van bovengenoemde iets tegenkomen en vreemde akties of accounts zien, dan is het systeem besmelt met de opvolger van de 'Ransomware' virus en hebben ze controle over al je systemen incl. slimme apparaten in je netwerk, zonder dat je het ooit wat van hebt gemerkt.

Geen virrusscanner zal dit herkennen, ze maken gebruik van goedgekeurde beveiligingscertificaten, die via een achterdeur of een fake OS update, die net echt lijkt, wordt binnen gehaald en geinstalleerd.

Dit is nog maar een klein deel, waarvan ze gebruik maken en ze gebruiken dezelfde methodes op elke OS.

Om je hele netwerk weer op te schonen, moet je zeer veel kennis van zaken hebben om hun uit te schakelen.
Want mochten ze merken dat je hun door hebt, timmeren ze alles nog dichter, incl. je router dat je gebruik van het systeem kunt maken of ze blokkeren je compleet de toegang tot je systeem.

Zie meerdere artikelen op de site over Wifi verbindingen die aktief blijven, apparaten die men via Bluetooth kan overnemen, Intel die funtcies uitschakled enz...
Formateren, resetten of terug naar fabrieksinstellingen heeft totaal geen zin...Succes....
04-12-2017, 10:02 door -karma4 - Bijgewerkt: 04-12-2017, 10:54
Door Legionair:
Door The FOSS: @karma4 Ik geloof allang niet meer in Sinterklaas hoor! Dus noem mij s.v.p. geen gepikeerde gelovige!

Verder presenteer je een geweldig stukje historie maar nu nog de relevantie in de context van deze thread.

Voor de twijfelaars of de ontwetenden wat betreft de theorie van @karma4, raad ik hen ineens aan om zich te verdiepen in Gnome.

De theorie van @karma4? Leg eens uit wat hij bedoelt dan want zelf komt hij niet veel verder dan industrie standaard logging mechanismen aanhalen als voorbeeld van telemetrie... (Nee @karma4, server side logging is niet hetzelfde als telemetrie, het heeft er zelfs helemaal maar dan ook helemaal niets mee te maken).

Over de rest van de karma4 en Legionair berichten hier: bah, dit begint steeds meer een forum voor knoeiers met onzinberichten te worden.
04-12-2017, 11:48 door Legionnaire - Bijgewerkt: 04-12-2017, 12:03
Door The FOSS:
Door Legionair:
Door The FOSS: @karma4 Ik geloof allang niet meer in Sinterklaas hoor! Dus noem mij s.v.p. geen gepikeerde gelovige!

Verder presenteer je een geweldig stukje historie maar nu nog de relevantie in de context van deze thread.

Voor de twijfelaars of de ontwetenden wat betreft de theorie van @karma4, raad ik hen ineens aan om zich te verdiepen in Gnome.

De theorie van @karma4? Leg eens uit wat hij bedoelt dan want zelf komt hij niet veel verder dan industrie standaard logging mechanismen aanhalen als voorbeeld van telemetrie... (Nee @karma4, server side logging is niet hetzelfde als telemetrie, het heeft er zelfs helemaal maar dan ook helemaal niets mee te maken).

Over de rest van de karma4 en Legionair berichten hier: bah, dit begint steeds meer een forum voor knoeiers met onzinberichten te worden.

Ach ja....Als lid van een groep knoeiers, worden onze onzinberichten en bevindingen des tijds en nog steeds, door de gerenomeerde softwarefabrikanten en andere partijen enorm op prijs gesteld.
De omvang is al enorm en men is achter de schermen hard aan het werk.

Maar kom zelf eens met een verklaring, waardoor er momenteel zo enorm veel beveilingsproblemen zijn, zelfs bij de fabrikanten, die voor onze beveiliging moet zorgen.

Toch wel vreemd, dat men steeds meer ziet, dat de Intel Managment Engine prefentief wordt uitgeschakeld.
Waarom zal men dit nu doen?


ik laat me verrassen....
04-12-2017, 13:27 door Anoniem
Over de beperkte mogelijkheden om Android te beveiligen op een Wifi-netwerk is hier al veel geschreven.

Probeer het maar eens goed te doen en kijk tegen welke mogelijkheden/onmogelijkheden je aanloopt.

Hoeveel mensen denken op een eigen netwerk te draaien en zitten in feite op een gehackt subnet bij pientere buren?
Je hebt maar niet die ene slimmerik in je directe omgeving nodig en niet iedereen draait een Network Watcher of WifiInfoView of zit de eigen adresjes te whitelisten achter een redelijke firewall en niet zon plastic niemandalletje.

Wil je Googe apps gecontroleerd hebben, dan zal Google dat toch echt zelf doen moeten doen, maar omdat de linkerhand daar ook vaak niet weet wat de rechter doet, is het voor Google ook vaak dweilen met de developer kraan open. Met de komende 3rd party code blokkeringen buiten de platformafhankelijke om, zullen ze wel een eind komen.

Eigenlijk zou Google opgesplitst moeten worden en zouden we een leermoment moeten krijgen waar 20 jaar Google-Microsoft ons gebracht heeft.

De certificering alleen al een beetje op orde brengen lijkt al een schier onmogelijke opgave.
04-12-2017, 14:46 door Anoniem
Door karma4: Om dat te kunnen doen moet google aan telemetry doen ofwel het verzamelen van de gegevens die applicaties verzamelen.
Daar is geen telemetrie voor nodig, ik denk dat ze verder komen door de applicatie in een VM of een debugger te draaien en te kijken wat hij daar doet.
Voor degenen die er niet in thuis zijn. Het stamt al uit mainframe tijd, oner de 128 des IBM daarboven voor de third parties.
Huh?
https://www.ibm.com/support/knowledgecenter/SSLTBW_2.1.0/com.ibm.zos.v2r1.ieag200/records.htm
Oh, je bedoelt SMF (System Management Facility). Records die systemcomponenten en applicaties op een mainframe zelf vrijwillig schrijven om zich meetbaar en analyseerbaar te maken, dus. Als je het van die vrijwilligheid moet hebben kan je ook gewoon aan de ontwikkelaars vragen of ze niet stiekem iets verkeerds doen, lijkt me.

En waarom haal je die grens van recordnummer 128 erbij? Die is zo specifiek voor SMF dat je de indruk wekt dat je niet goed door hebt dat Android iets heel anders is dan z/OS.
04-12-2017, 15:46 door Legionnaire
Door Anoniem: Over de beperkte mogelijkheden om Android te beveiligen op een Wifi-netwerk is hier al veel geschreven.

Probeer het maar eens goed te doen en kijk tegen welke mogelijkheden/onmogelijkheden je aanloopt.

Hoeveel mensen denken op een eigen netwerk te draaien en zitten in feite op een gehackt subnet bij pientere buren?
Je hebt maar niet die ene slimmerik in je directe omgeving nodig en niet iedereen draait een Network Watcher of WifiInfoView of zit de eigen adresjes te whitelisten achter een redelijke firewall en niet zon plastic niemandalletje.

Wil je Googe apps gecontroleerd hebben, dan zal Google dat toch echt zelf doen moeten doen, maar omdat de linkerhand daar ook vaak niet weet wat de rechter doet, is het voor Google ook vaak dweilen met de developer kraan open. Met de komende 3rd party code blokkeringen buiten de platformafhankelijke om, zullen ze wel een eind komen.

Eigenlijk zou Google opgesplitst moeten worden en zouden we een leermoment moeten krijgen waar 20 jaar Google-Microsoft ons gebracht heeft.

De certificering alleen al een beetje op orde brengen lijkt al een schier onmogelijke opgave.

Het is ligt veel gecompliceerde.

Men hoeft niet niet aangemeld te zijn op een WiFi verbinding of welke verbinding dan ook
Ook maakt het niet uit welke OS en welke hardware men gebruikt.
Zij sporen je vooral op via je Gmail account, gezien bijna iedereen er wel eentje heeft en deze is vaak gekoppeld aan andere mailadressen of socialmedia accounts.
Via deze manier weten je MAC adres te achterhalen, van elke hardware die men in het netwerk heeft draaien.
Dan kan men simpel gebruik maken van een hotspot, je kabel of je spanningsnet (slimme meter) en contact leggen met welk systeem ook.
Meestal gebruikt men de router van de provider, gooien de standaard firmware eraf en uploaden hun eigen firmware.
Je provider heeft niets in de gaten en jij zelf ook niet mocht je je aanmelden op je netwerk, via WiFi of UTP.
En beetje bij beetje verstuurd men pakketjes, meestal maakt men gebruik van foto of muziek bestanden, die al standaard aanwezig zijn op je systeem en eenmaal alles geupload, pakt men alles uit en is men binnen en begint zonder dat men maar iets merkt, je systeem te configureren naar hun hand.
Dit kan men ook berijken zonder dat men gebruik hoeft te maken van de router.
Elk systeem waar maar spanning opstaat, te benaderen op diverse manieren.
Want ongeacht, dat men in de BIOS of mobiel alle verbindingen uitschakeld, blijven deze altijd nog op de achtergrond draaien...slaapstand...dit geldt tevens voor meerdere apps, GSM signaal, touchpad, muis...overal waar spanning op staat, kan men gebruik van maken.
Zelfs via alle slimme apparaten, zoals de thermostaat of een kinderspeeltje is al voldoende.
Men kan dan al meeluisteren en kijken en op een onbewaakd moment, meestal als laat in de nacht of achter de oplader,kunne ze rustig hun gang gaan.
Eenmaal een binnen, is het een koud kunstje om alles naar hun hand te zetten,zonder dat het opgemerkt wordt of er gebruik van wordt gemaakt.
En mocht jij dan iemand metbezoeken en je hebt je mobiel bij je, dan zijnj ze dar ook binnen of iemand die jou bezoekt met een besmet systeem.
En zo kan ik nog wel uren een verder gaan, hou men dan verder te werk gaat, maar dan ben ik nog uren bezig en ik heb al verslagen genoeg geschreven.

Als je alle artikelen leest, zal je opvallen, dat veel dingen ineens bekent voor zullen komen...zoals allerlei apparaten die makkelijk te benaderen zijn en wat men nu het meeste leest, is dat hardwarefabrikanten met Intel het management tool blokkeren....een enorme lek is dat...


Dus...
04-12-2017, 17:30 door karma4
Door Anoniem:
En waarom haal je die grens van recordnummer 128 erbij? Die is zo specifiek voor SMF dat je de indruk wekt dat je niet goed door hebt dat Android iets heel anders is dan z/OS.
Man die grens van 128 is willekeurig. Het gaat er enkel om dat de eigenaar van het os en wat deelsystemen wat aanbiedt aan andere partijen. Dat is openheid met duidelijkheid.

Die openheid en duidelijkheid mist bij oss en google. Heb je ooit een duidelijk concept met richtlijnen gezien waar aan men zich dient te houden. Nou nee, het enige wat er gezegd wordt is dat je de code kan zien. Alsof dat de bedoeling weergeeft. Niet dus.

Die records zijn zeker niet vrijwillig door een applicatie code klopper. Het zijn events vanuit triggers of tijdgedreven voor intervallen. Denk aan harware load balancing vanaf de kernel tot functionele IO Subsysteme wat doorloopt in middleware dbms en alles wat je een ontwukkelframework noemt.
Niet waar een applicatie code klopper met zij vingers aan mag zitten. Net zo min als de applicatie code klopper met zijn vingers aan de security inrichting mag zitten.

Voor dat laatste kijk eens en denk eens over het veilig ontwerpen en bouwen van informatiesystemen.
Als je tegenkomt dat ja er is logging etc want de developer heeft dat in dd applicatie opgelost. Het vinkenlijstje voor de auditor ligt klaar. Die zou er meteen een streep doorheen moeten zetten als hij het zou begrijpen.
04-12-2017, 18:39 door Anoniem
Google een data-overval op een ieder via "security through obscurity", dat eigenlijk "insecurity by design" zou moeten heten.

Dus als ik Legionair hier goed begrijp, bij dit leermoment voor ons allen, vertelt Google eigenlijk nergens hoe of alles wat hen betreft rond het data-slurpen is geregeld en gebruikt het aanmaken van een account bij deze club alleen maar om toestemming te verkrijgen tot "ja tot wat allemaal eigenlijk?". Zo is Google dus verworden tot de uitvoerende arm van een dienst als de NSA e.d.

Nog linker wordt het, als werkelijk overal online steeds Google tracking code draait, vaak ook nog verborgen. Als we dus vast kunnen stellen dat Google a priori dus "evil" bezig is en dat in feite altijd is geweest, maar sommigen wisten dat nog niet, hebben we al wat langer een flink beveiligingsprobleem met zijn allen: ((eind) gebruikerssurveillance, bedrijfsspionage, andere vormen van spionage, tracking en profilering via google-piggybacking) en noem nog maar een riedeltje onverkwikkelijke onveiligheid op.

In welke richting moeten we dan trachten die zaken op de globale infrastructuur weer wat normaler en gezonder te krijgen?
Wat om er voor te zorgen dat met genoeg moeite doen niet iedereen letterlijk en figuurlijk PN*WED is? Vooralsnog zie ik het zeer zorgelijk in voor de handhavers van enige vorm van digitale data-integriteit. Hoe zie jij dat eigenlijk, legionair?

Jodocus Oyevaer
04-12-2017, 20:11 door Anoniem
Door karma4:
Door Anoniem:
En waarom haal je die grens van recordnummer 128 erbij? Die is zo specifiek voor SMF dat je de indruk wekt dat je niet goed door hebt dat Android iets heel anders is dan z/OS.
Man die grens van 128 is willekeurig.
Noem hem dan niet. Het is ruis die totaal niet aan de boodschap bijdraagt maar die ervan afleidt. Door hem te noemen, in een zin die zo rammelt dat hij al amper te begrijpen is, wek je de indruk dat je er iets mee wilt zeggen.
Die records zijn zeker niet vrijwillig door een applicatie code klopper. Het zijn events vanuit triggers of tijdgedreven voor intervallen. Denk aan harware load balancing vanaf de kernel tot functionele IO Subsysteme wat doorloopt in middleware dbms en alles wat je een ontwukkelframework noemt.
Niet waar een applicatie code klopper met zij vingers aan mag zitten. Net zo min als de applicatie code klopper met zijn vingers aan de security inrichting mag zitten.
Het SMF-handboek[1][2] beschrijft anders gewoon de macro's [3] waarmee een applicatieprogramma SMF-records kan schrijven, je kan er in applicaties gebruik van maken maar ik heb in de kwart eeuw dat ik mainframe-applicaties gebouwd heb dat nooit daadwerkelijk gedaan, het is meer iets om in een DBMS in te bouwen. Het kan dus wél in een applicatie gebruikt worden en dat gebruik is wél vrijwillig, ik zie in dat handboek althans nergens staan dat het moet. Een leverancier van het soort software waarvoor het zinvol is zal het vermoed ik niet inbouwen omdat het moet van IBM maar omdat klanten er prijs op stellen.

Onder de SMF-records die het systeem schrijft (via dezelfde macro's, ongetwijfeld) zijn er voor toegang tot VSAM-datasets, DB2, TCP/IP en dat soort dingen. Daar worden inderdaad zaken gelogd over het gebruik van een applicatie, buiten de controle van die applicatie om. Goed, dáár had je het dus over.

De vraag is of zoiets op Android gaat helpen. Gebruikers geven apps al toestemming om aan allerlei zaken te komen. Als een app die niets met adressen doet toch toegang tot je adresboek vraagt, zal iemand die daar ondoordacht toestemming voor geeft dan wel op iets als SMF-records gaan letten? Dream on.

Wacht, je noemde telemetrie. Was je gedachte dat die SMF-records van alle smartphones naar Google worden gestuurd zodat men daar ziet dat de app het adresboek benadert? Los van dat dataverzameling op die schaal een privacyprobleem op zich zou zijn kan Google zonder dat ook al zien welke toestemmingen een app wil hebben. Die staan namelijk in een manifest-file, Google hoeft niet tot runtime te wachten om te weten wat een app wil benaderen.

En zelfs al zouden die SMF-records gebruikt worden, dan betwijfel ik of ze helpen. Als een app die op zich een legitieme reden heeft om een netwerkverbinding met een server van de leverancier te maken daar data heen stuurt die daar helemaal niet terecht hoort te komen dan zie je dat echt niet aan die SMF-records, die loggen de inhoud van de communicatie niet.


Het lastige van deze dialoog (en dat zie ik ook aan reacties van anderen en van jou weer op hun) is dat je begon er wat incoherente zinnen met een lichte diarree van jargon uit te gooien, om vervolgens de soms vijandige, soms gewoon om uitleg vragende reacties érg inadequaat te beantwoorden door een tegen-rant te beginnen of zo geconcentreerd mogelijk mainframejargon uit te slaan waarvan je op je vingers kan natellen dat een hoop mensen daar niet wijzer van worden, wat hun weer de indruk geeft dat je alleen superieur probeert te doen maar eigenlijk niks te zeggen hebt.

Als je al die energie nou eens had gebruikt om de eerste reactie die je schreef meteen goed onder woorden te brengen. Niet door naar jargon te verwijzen, niet door dat irrelevante getal 128 te noemen, maar door uit te leggen dat op IBM-mainframes een faciliteit bestaat om data te verzamelen die voor analyses, betrouwbaarheidsrapportages, gebruik van gegevensverzamelingen, databases en andere resources gebruikt kan worden. Zie je hoe weinig platformspecifieke jargonwoorden ik nodig heb om dat te schrijven? Vervolgens kan je uitleggen waarom je vindt dat een dergelijke faciliteit op Android tegen het probleem van apps die data verzamelen zou kunnen worden ingezet, wat dat aan concrete informatie toevoegt aan de toestemmingenstructuur die er al is, en hoe en waar die data verwerkt moet worden om nut te hebben. Een zinsnede als "moet google aan telemetry [sic] doen" is veel te vaag, daarmee breng je niet over wat je bedoelt.

Het was, met andere woorden, een stuk prettiger geweest als je niet een vage gedachte ongecoördineerd eruit had geflapt maar als je hem grondig had doorgedacht en in goed Nederlands had opgeschreven, zonder al dat IBM-jargon dat maar een minderheid kent. Dan had deze thread een inhoudelijke discussie kunnen zijn in plaats van een langgerekte poging om te achterhalen wat je bedoelt. En dan had het nog interessant kunnen worden ook.

[1] System Management Facility is een faciliteit op mainframes om data te verzamelen die voor analyses, betrouwbaarheidsrapportages, gebruik van gegevensverzamelingen, databases en andere resources gebruikt kan worden.
[2] https://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wss?CTY=US&FNC=SRX&PBL=SA22-7630-24#
[3] IBM's assembler ondersteunt macro's, instructies die er als een assemblerinstructie uitzien worden uitgepakt tot een soms behoorlijk uitgebreide lap assembler-code. Die waren er voor veel terugkerende zaken als I/O-operaties, en zelfs voor het specificeren van de layout van een invoerscherm voor een applicatie waren macro's (die heb ik in de jaren '80 nog uitgebreid gebruikt). Het schrijven van SMF-records gaat ook via assembler-macro's.
05-12-2017, 12:40 door Anoniem
@karma4, legionair en anoniem van 20:11 van gister,

We moeten niet vastzitten in oudere paradigma's, de ontwikkelingen gaan onverdroten door voor mobiel naar mainframe, bijvoorbeeld via Ironstream* Transaction Tracing (* copyright), zie het leuke schemaatje hier: http://blog.syncsort.com/2017/09/mainframe/transaction-tracing-mobile-mainframe-part-2/
Buzzword JSON enz. Dus er is e2e transactie zichtbaarheid van mobiele apparaten naar je mainframe op HTTPS.

Daar was die Internationale Conferentie voor in 2014 en nu zitten we alweer bijna in 2018.

Er is echter nog iets anders waar ik aandacht voor wil vragen. We komen natuurlijk nooit verder met de algemene veiligheid op de infrastructuur zonder een zekere verantwoordelijkheid en flinke sancties neer te leggen bij hosts om hun servers afdoende te beveiligen. Degenen, die een domein bezitten weten veelal te weinig van beveiligingszaken en gezien de regelmaat waarbij ook grote bedrijven met data verliezen te maken krijgen, bewijst dit dat men hier nodig iets aan zal moeten doen.

Mijn vraag. Waarom gebeurt er maar mondjesmaat wat? Waarom wordt er niet meer bestraft, gesinkholed, neergehaald?
Waarom gaat men het online moeras niet droogleggen? Wie en wat hebben er belang bij om dat niet of niet voldoende te laten gebeuren? Graag jullie visie daarop? Jullie zitten immers al jaren in zo'n situatie.

Conclusie derhalve: zelfs bij Google lukt het niet om Google zelf 'safe-browsing' te leren! Of snap ik het nu allemaal niet zo goed? Wordt er dan teveel aan onveiligheid verdiend misschien?
06-12-2017, 17:14 door Anoniem
Maar wat doet Google zelf op de browser via poort 5228?

Google Cloud Messaging with apps al weer even geleden uitgerold.
Leuk voor je firewall (not). Verkeer: tunnel://mtalk.google.com:5228

Google Play GSM voor integratie van android en andere platformen.

Het opgestoken Google vingertje voor iedereen, maar heel vaak niet wijzend naar zichzelf.

Re: https://bugs.chromium.org/p/chromium/issues/detail?id=373181
17-12-2017, 11:50 door Anoniem
Voor security.nl geldt al bijna hetzelfde als voor zerohedge.com: het advies is om vooral geen tijd te verspillen aan de reacties.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.