'Android gebaseerde fotolijstjes installeren malware na versie-update'
Onderzoekers waarschuwen voor op Android gebaseerde fotolijstjes die na een versie-update van de software malware downloaden en installeren. Daarnaast bevatten de fotolijstjes meerdere kwetsbaarheden waardoor aanvallers onder andere op afstand willekeurige code met rootrechten kunnen uitvoeren. Via gecompromitteerde fotolijstjes kunnen aanvallers vervolgens andere systemen in het netwerk of daarbuiten aanvallen, aldus securitybedrijf Quokka (pdf).
De fotolijstjes worden onder verschillende merken aangeboden, zoals Bigasuo, Canupdog, Euphro, Sammix, Wonnie, Jaokpo, MaxAngel, jazeyeah, Fangor, Forc, Caxtonz, Shenzhen Yunmai Technology, Glusine, Bmdigipf, Byybuo, Sbusfgt en Weipan. De apparaten draaien op Android en maken gebruik van een applicatie genaamd Uhale, ontwikkeld door het Chinese bedrijf Zeasn. Gebruikers kunnen de fotolijstjes via de Uhale-app bedienen. De app synchroniseert fotoalbums op de telefoon van de gebruiker met de applicatie op het fotolijstje. Volgens cijfers van de Google Play Store is de Uhale-app meer dan 500.000 keer gedownload. Eén van de fotolijstjes heeft op Amazon bijna duizend reviews.
Onderzoekers van Quokka ontdekten dat de fotolijstjes na de installatie van versie 4.2.0 opeens malware begonnen te downloaden en installeren. Het verschijnsel werd bij meerdere fotolijstjes waargenomen. "Na het opstarten bleken veel van de onderzochte fotolijstjes naar versie 4.2.0 van de Uhale-app te updaten. Het apparaat installeert deze versie en herstart. Na de herstart downloadt de bijgewerkte Uhale-app malware", aldus de onderzoekers in een rapport. In totaal werden zes malafide gedownloade .APK- en .JAR-bestanden waargenomen die het label malware, spyware en trojan kregen.
De malware op de fotolijstjes zou mogelijk verband houden met een botnet genaamd Vo1d, maar dat kunnen de onderzoekers niet direct bevestigen. Verder ontdekten de onderzoekers verschillende kwetsbaarheden, waaronder drie die remote code execution als root mogelijk maken. De onderzoekers melden dat ze Zeasn verschillende keren op de kwetsbaarheden hebben gewezen maar geen reactie van het bedrijf kregen.
"Wat een eenvoudig fotolijstje lijkt kan in werkelijkheid een trojaans paard zijn. Ons onderzoek laat zien dat apparaten die van Uhale gebruikmaken niet alleen de basisbeveiliging niet op orde hebben, maar gebruikers actief blootstellen aan malware, surveillance en een gecompromitteerd netwerk", concluderen de onderzoekers.
NB Vroeger had ik fotolijsten gevuld aan twee kanten. Afhankelijk van de visite die er kwam, liet ik ze de ene, dan wel de andere kant zien. Dit soort dingen kon je ook zonder internet al maken. Ik ben overigens wel een keer vergeten de lijst weer om te keren. Zo'n control freak was en ben ik nou ook weer niet.
En Google maar pushen om als gatekeeper voor alle apps te spelen.
Weet je, dit wil ik toch even kwijt, want dit bittere gevoel heb ik al gelange tijd;
Overal waar proprietaire big tech hun voetafdruk zet zaaien ze vernietiging.
Ik kan niet benadrukken hoe erg ik ze haat, echt verschrikkelijk en heb ze al meer dan tien jaar niet meer in mijn leven, maar langzaam maar zeker lekt die troep overal in, alsof je in een lekke duikbuit zit.
Big tech is als een tumor op je privacy en electronica, alleen maar omdat je leven de nieuwe olie is geworden die ze kunnen verkopen, alsof het de duivel is die je ziel verkoopt, al je meest intieme en persoonlijke ervaring opgeslokt door een emotieloze reus zonder medogen, en daarin zitten je liefste familie, je beste herinneringen en mooiste momenten, om vervolgens allemaal aangerand te worden door dat monster genaamd Google, Apple, Microsoft en al die andere smerige datadieven.
De grootste schurken is uw overheid, degenen die je zouden moeten beschermen tegen die rotzooi, maar zich zelf ook aan je leven vergrijpen via al die "wetten" zoals de sleepwet, chatcontrol en bewaarplicht via machtsmisbruik, zwartgelakte namen en lobbyen en de kleine lettertjes in de nietszeggende terms waarmee mensen zonder vermoeden mee akkoord gaan, geschreven door de meest slijmerige advocaten ter wereld.
Ze zijn net zo schuldig en maken deel uit van dit criminele terroristische datakartel.
NB Vroeger had ik fotolijsten gevuld aan twee kanten. Afhankelijk van de visite die er kwam, liet ik ze de ene, dan wel de andere kant zien. Dit soort dingen kon je ook zonder internet al maken. Ik ben overigens wel een keer vergeten de lijst weer om te keren. Zo'n control freak was en ben ik nou ook weer niet.
Het gaat eerder om inbreken en via het geïnfecteerde netwerk interessantere doelen aan te vallen.
NB Vroeger had ik fotolijsten gevuld aan twee kanten. Afhankelijk van de visite die er kwam, liet ik ze de ene, dan wel de andere kant zien. Dit soort dingen kon je ook zonder internet al maken. Ik ben overigens wel een keer vergeten de lijst weer om te keren. Zo'n control freak was en ben ik nou ook weer niet.
Het gaat eerder om inbreken en via het geïnfecteerde netwerk interessantere doelen aan te vallen.
Of om te verhullen (dan wel te verklappen) dat er een politieke vereniging in je huis ter samenkomst was.
Eh... fotolijstje... internet access?? Waarom?
Het zal wel 'leuk' of 'handig' ofzo zijn.
Laat maar...
Eh... fotolijstje... internet access?? Waarom?
Het zal wel 'leuk' of 'handig' ofzo zijn.
Laat maar...
Ik kreeg een keer mensen over de vloer met dergelijk cadeautje. Digitaal fotolijstje stond al aan, voordat ik gevraagd had of het koffie of thee mocht zijn. Maar dat was dan ook cybercrimineel echtpaar, hele familie en antecedenten hingen aan Cap Gemini infuus.
Was bijzonder naargeestig geregeld, minderjarigen waren betrokken geweest bij het uitzoeken van de foto's voor op het cadeau. Die vonden dan ook dat ik dit geschenk niet in direct in de prullenbak mocht gooien.
Later hebben we het symbolisch verzopen in een teiltje.
Zie je geen advertenties, wordt dat ook minder.
Het systeem houdt dus de gevolgen van cybercriminaliteit in stand.
En niemand die het wil benoemen of er iets aan wil doen.
Te ingewikkeld wellicht of brengt niet genoeg op?
Glas, plas, was.
Zie je geen advertenties, wordt dat ook minder.
Het systeem houdt dus de gevolgen van cybercriminaliteit in stand.
En niemand die het wil benoemen of er iets aan wil doen.
Te ingewikkeld wellicht of brengt niet genoeg op?
Glas, plas, was.
Android heeft geen goed record als het gaat om installaties binnen de app-store waar toch eea aan bleek te mankeren (zacht uitgedrukt)
Zo werden Android gebruikers getraind dat het toch niet uitmaakte, binnen of buiten de app store downloaden. Hoefde niet direct tot financiele malversaties te leiden, maar gewoon hacken, lekken en verspreiden van persoonsgegevens.
Kon betrouwbaar zijn, of onbetrouwbaar.
Was met Windows Lumia ook al het geval.
Ik heb altijd de indruk gehad dat dit bij Appel iets minder aan de orde was, in de app-store.
Je kunt de foto's veranderen, geheel AI aangestuurd desnoods. Zie je al je familieleden, veranderen in wereldleiders, en de visite bij je thuis ook! Wat gaaf, zo'n gehackte router met dit IOT prul!
Mag je als individu denken dat je ook mee mag doen, en waag het niet af te wijken van die ambtelijke mening, dat is verboden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?