Pas op met iFramix Pro / iframix.cc

[arjan1995]

Beste kijkers / lezers van Radar,

Via deze weg wil ik jullie waarschuwen voor een product wat sinds kort online wordt verkocht: iFramix Pro.
Dit is een set waarmee je van een oude iPad, tablet of smartphone een digitaal fotolijstje kunt maken.

Het probleem met dit product is dat - indien je de app gebruikt die bij dit apparaat hoort - alle foto's die je op het lijstje zet op een Chinese server worden opgeslagen en dat er geen versleuteling (HTTPS) wordt gebruikt bij het inloggen en overdragen van de foto's. Hierdoor kunnen je foto's in onbekende handen terecht komen en is het account wat je in de app moet aanmaken kwetsbaar voor hackers. In de privacy voorwaarden staat dit ook niet vermeld, hier staat zelfs in dat er geen foto's online worden opgeslagen en dat er wél versleuteling wordt gebruikt.

Ook is de bijgeleverde slimme oplader ("iChargeGuard") onveilig: deze maakt af en toe een piepend / fluitend geluid en heeft toegang nodig tot je wifinetwerk. De oplader verstuurt via die wifiverbinding gegevens over het opladen naar dezelfde Chinese server, en vanwege de manier hoe dit werkt kan de oplader mogelijk door aanvallers (kwaadwillenden) op afstand worden in of uitgeschakeld.

Dit alles heb ik zelf ontdekt nadat ik het product via kickstarter (crowdfunding) had besteld en het vreemd vond dat ik de app buiten de Play store moest downloaden, plus al mijn foto's moest uploaden. Inmiddels is de crowdfunding afgerond, maar wordt dit product - zonder dat dit is opgelost - via de webshop iframix.cc verkocht.
De maker heeft niet gereageerd op reacties die ik daar heb geplaatst, vandaar dat ik dit nu openbaar wil delen.

Voor meer informatie hoe ik dit heb ontdekt, zie medium.com/@arjan1995_19355/iframix-pro ... f8017ad574

[Morgan le Fay]

Als ik dit zo lees is er via een rare constructie toegang gegeven aan een Chinese database.
Zou ver van kickstarter blijven. Als ik die layout bekijk krijg ik toch echt het gevoel dat dit een variant is van een dropshipper

[Speedy123]

Als ik dit zo lees is er via een rare constructie toegang gegeven aan een Chinese database.
Zou ver van kickstarter blijven. Als ik die layout bekijk krijg ik toch echt het gevoel dat dit een variant is van een dropshipper

Het was een Kickstarter project voor een startup in Hongkong. De bijdrage was ook in Hongkong dollar. Het lijkt me dan eerlijk gezegd niet zo vreemd dat deze software in de Chinese Cloud draait.

[rwolters]

Ik heb er niet veel verstand van, maar een app downloaden buiten de playstore om is altijd een rode vlag. Hebt u al contact gezocht met het juridisch loket?

Er zijn heel veel bonafide alternatieven voor de playstore. Dus te kort door de bocht om het en rode vlag te geven. Het wordt ook gewoon ondersteunt in Android.

[arjan1995]

@Speedy123 Het probleem is niet zozeer dat het een Hong Kong bedrijf is, dat wist ik inderdaad ook van tevoren. Maar meer dat de kickstarter oorspronkelijk aangaf dat er lokale foto’s zouden kunnen worden afgespeeld en dat de oplader via Bluetooth zou verbinden. Als dat allebei het geval was geweest, dan was er niet zoveel aan de hand geweest. Of als het bedrijf met een goede verklaring was gekomen waarom dit niet was gelukt. Maar helaas is dat niet gebeurd.

@Morgan le Fay Kickstarter zelf is een Amerikaans bedrijf en daar is niets mis mee. Talloze projecten, waaronder een aantal populaire bordspellen, zijn hierop gelanceerd. Helaas zitten er soms ook scams of - zoals in dit geval - onbetrouwbare projecten op. Het toezicht hierop zou van mij wel beter mogen.

@Mayonsaus / @rwolters een app installeren buiten de Play Store kan inderdaad wel, maar het komt in Nederland niet zo vaak voor. In China / Hong Kong gebeurt dit vaker. Volgens mij is de Play Store in China überhaupt niet te gebruiken. Ook hierbij hadden een uitleg waarom en een met HTTPS beveiligde link een hoop goed kunnen maken.
Ik heb geen contact met het juridisch loket opgenomen, want dit product is van buiten Nederland en de EU, dus ik verwacht daar niets uit te halen.

[PGros]

Als ik een oude gsm heb en dan de galerij pak kan ik alle lokale foto's als diavoorstelling bekijken. Wat heb je meer nodig om er een digitaal fotolijstje van te maken?

[Morgan le Fay]

Thanks voor de terugkoppeling. Doet nl niet iedereen
Maar buiten de App store iets op een Apple zetten is voor mij altijd een not done, op ringtones na.

[arjan1995]

Update: Er lijkt, ongeveer twee maanden na de eerste meldingen over beveiligingsproblemen, door de maker het een en ander te zijn verbeterd. Er is vandaag op kickstarter een nieuw bericht verschenen en een van de punten die wordt genoemd, is dat de nieuwste versie van de app nu beveiligd is met HTTPS.
Op de downloadpagina van de app en in de browserversie, die op mijn hele oude iPad draait, lijkt dit ook daadwerkelijk zo te zijn.

Ik ga binnenkort opnieuw een grote test doen, en als de beveiliging van de hele set nu inderdaad een stuk beter is, dan pas ik het eerste bericht hierop aan.

Bron: https://www.kickstarter.com/projects/if ... ered_users

iframix-update-2-jan-2026.jpg (129.88 KiB) 1755 keer bekeken | Inbreuk op auteursrecht?

[16again]

Update: Er lijkt, ongeveer twee maanden na de eerste meldingen over beveiligingsproblemen, door de maker het een en ander te zijn verbeterd. Er is vandaag op kickstarter een nieuw bericht verschenen en een van de punten die wordt genoemd, is dat de nieuwste versie van de app nu beveiligd is met HTTPS.

Of we daar blij mee moeten zijn. Die stap zette de rest van het internet 10 jaar terug al:
https://www.reddit.com/r/OutOfTheLoop/c ... the_start/

[Nijogeth]

Ja, en het bestaat al net zolang al http.

[16again]

Ja, en het bestaat al net zolang al http.

Ik ben er juist niet blij mee, dat iframix.cc er nu pas mee komt. Dat de ontwikkelaars pas in een laat stadium basis security zaken erbij moeten knutselen, houdt voor mij in dat totaal niet over beveiliging is nagedacht.

En http is natuurlijk jaren ouder dan https. (1990 vs 1994)
https://en.wikipedia.org/wiki/HTTPS
https://en.wikipedia.org/wiki/HTTPS

[Nijogeth]

Vergeet niet dat de oudste huidige HTTP versie (1.1) die nog gebruikt wordt uit 1997 komt. Versie 0.9 (1991) en 1.0 (1995) worden al niet meer gebruikt.

[Klaarlicht]

Update: Er lijkt, ongeveer twee maanden na de eerste meldingen over beveiligingsproblemen, door de maker het een en ander te zijn verbeterd. Er is vandaag op kickstarter een nieuw bericht verschenen en een van de punten die wordt genoemd, is dat de nieuwste versie van de app nu beveiligd is met HTTPS.
Op de downloadpagina van de app en in de browserversie, die op mijn hele oude iPad draait, lijkt dit ook daadwerkelijk zo te zijn.

Ik ga binnenkort opnieuw een grote test doen, en als de beveiliging van de hele set nu inderdaad een stuk beter is, dan pas ik het eerste bericht hierop aan.

Bron: https://www.kickstarter.com/projects/iframix/iframix-pro-breathe-new-life-into-your-old-pad-and-phone/posts/4577962?ref=ksr_email_mktg_auto_backer_project_update_registered_users_hier

iframix-update-2-jan-2026.jpg

Prima update. Als de hele keten nu via HTTPS loopt en opslag/voorwaarden ook zijn aangepast, scheelt dat al een hoop risico.

[arjan1995]

Eindelijk de tijd gevonden om de set opnieuw te testen.

De nieuwste app, versie 2.2.22 van 19 januari, loopt inderdaad volledig via HTTPS.
Ook de downloadpagina voor de Android app loopt nu via HTTPS, en geeft daarmee geen waarschuwingen meer op mijn telefoon. De download is nog wel steeds een los APK bestand.
Dit is in elk geval een flinke verbetering en voorkomt dat hackers je wachtwoord of foto's kunnen uitlezen.

De oplader loopt nog *niet* via een beveiligde verbinding (vanwege het MQTT protocol dat deze gebruikt is dat TLS).
Waarschijnlijk moet deze hiervoor een firmware update krijgen, dus het is de vraag of dat gaat gebeuren.
Er schijnt wel een firmware update te komen om de ledverlichting beter te kunnen regelen, dus misschien nemen ze het hierin mee. Dit betekent dat de oplader nu nog steeds mogelijk op afstand kan worden uitgeschakeld.

De privacyvoorwaarden zijn aangepast op 4 januari, maar hierin staat nog steeds niet dat er foto's worden opgeslagen. Je moet echter je foto's uploaden (max 9 per keer, in totaal max 200) en kan deze niet zonder internetverbinding bekijken, dus ik ben er niet van overtuigd dat je foto's niet meer worden opgeslagen.