Android-appstore F-Droid heeft een waarschuwing gegeven voor het “Android Developer Verifier” (ADV) proces van Google, dat de afgelopen maanden op zo’n vier miljard Androidtelefoons geïnstalleerd zou zijn. Via het proces kan Google apps van ontwikkelaars blokkeren die niet door het techbedrijf zijn goedgekeurd. Volgens Marc Prud’hommeaux van F-Droid gaat het eigenlijk om een Trojaans paard.
“Dit Trojaanse paard draait stiekem in de achtergrond als een systeemservice met volledige rootrechten, en wacht stilletjes op het activatiesignaal. De service is niet te blokkeren, uit te schakelen of te verwijderen”, aldus Prud’hommeaux. Hij voegt toe dat de ‘malware’ ook niet door Play Protect wordt verwijderd. “Sterker nog, Play Protect is de vector waardoor dit virus wordt verspreid en geïnstalleerd”, merkt hij op.
Ontwikkelaars van Android-apps moeten hun naam, adresgegevens, e-mailadres en telefoonnummer aan Google verstrekken, alsmede een kopie van hun legitimatiebewijs uploaden. Volgens het techbedrijf moet de maatregel voorkomen dat kwaadwillenden malafide apps kunnen verspreiden. “Verificatie van Android-ontwikkelaars helpt voorkomen dat kwaadwillenden zich achter anonimiteit kunnen verstoppen om schade aan te blijven richten”, aldus het techbedrijf in maart.
Op de maatregel is veel kritiek, omdat het de openheid van het Android-ecosysteem zou ondermijnen en de privacy van ontwikkelaars raakt. Appstore F-Droid vreest zelfs het einde van alternatieve Android-appstores. Een gecentraliseerde database, beheerd door één partij, met de gegevens van iedereen die software voor Android ontwikkelt is een enorm privacyrisico, zo lieten de makers van de Brave-browser recentelijk weten.
Google kwam twee weken geleden met een update over de uitrolplannen voor de verplichte registratie. Vanaf 30 september zullen Android-gebruikers in Brazilië, Indonesië, Singapore en Thailand alleen nog apps van geverifieerde ontwikkelaars kunnen installeren, tenzij ze de stappen voor ‘power users’ willen doorlopen. Door allerlei stappen te doorlopen zou het voor ‘power users’ mogelijk moeten blijven om ‘ongeregistreerde’ apps toch te blijven sideloaden. Volgens F-Droid is nog onduidelijk wat er op 30 september gebeurt als Google het ADV-proces bij gebruikers in de genoemde landen activeert, en wat dit voor gevolgen heeft voor al geïnstalleerd apps en de data van gebruikers.
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
Slecht nieuws: Google stopt met ingang van Chrome v.151 totaal de ondersteuning van Manifest V2.
Tot v.150 bestond nog een …
Bron: Security.nl
Android-appstore F-Droid heeft een waarschuwing gegeven voor het “Android Developer Verifier” (ADV) proces van Google, dat de afgelopen maanden op zo’n vier miljard Androidtelefoons geïnstalleerd zou zijn. Via het proces kan Google apps van ontwikkelaars blokkeren die niet door het techbedrijf zijn goedgekeurd. Volgens Marc Prud’hommeaux van F-Droid gaat het eigenlijk om een Trojaans paard.
“Dit Trojaanse paard draait stiekem in de achtergrond als een systeemservice met volledige rootrechten, en wacht stilletjes op het activatiesignaal. De service is niet te blokkeren, uit te schakelen of te verwijderen”, aldus Prud’hommeaux. Hij voegt toe dat de ‘malware’ ook niet door Play Protect wordt verwijderd. “Sterker nog, Play Protect is de vector waardoor dit virus wordt verspreid en geïnstalleerd”, merkt hij op.
Ontwikkelaars van Android-apps moeten hun naam, adresgegevens, e-mailadres en telefoonnummer aan Google verstrekken, alsmede een kopie van hun legitimatiebewijs uploaden. Volgens het techbedrijf moet de maatregel voorkomen dat kwaadwillenden malafide apps kunnen verspreiden. “Verificatie van Android-ontwikkelaars helpt voorkomen dat kwaadwillenden zich achter anonimiteit kunnen verstoppen om schade aan te blijven richten”, aldus het techbedrijf in maart.
Op de maatregel is veel kritiek, omdat het de openheid van het Android-ecosysteem zou ondermijnen en de privacy van ontwikkelaars raakt. Appstore F-Droid vreest zelfs het einde van alternatieve Android-appstores. Een gecentraliseerde database, beheerd door één partij, met de gegevens van iedereen die software voor Android ontwikkelt is een enorm privacyrisico, zo lieten de makers van de Brave-browser recentelijk weten.
Google kwam twee weken geleden met een update over de uitrolplannen voor de verplichte registratie. Vanaf 30 september zullen Android-gebruikers in Brazilië, Indonesië, Singapore en Thailand alleen nog apps van geverifieerde ontwikkelaars kunnen installeren, tenzij ze de stappen voor ‘power users’ willen doorlopen. Door allerlei stappen te doorlopen zou het voor ‘power users’ mogelijk moeten blijven om ‘ongeregistreerde’ apps toch te blijven sideloaden. Volgens F-Droid is nog onduidelijk wat er op 30 september gebeurt als Google het ADV-proces bij gebruikers in de genoemde landen activeert, en wat dit voor gevolgen heeft voor al geïnstalleerd apps en de data van gebruikers.
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
Slecht nieuws: Google stopt met ingang van Chrome v.151 totaal de ondersteuning van Manifest V2.
Tot v.150 bestond nog een …
Bron: Security.nl
Deel dit bericht: