Программная ошибка HTC может стоить пользователям ее флагманских смартфонов кражи личных данных
Узнаваемый на Android-сцене программер Тревор Экхарт (Trevor Eckhart) нашел гигантскую дыру в системе безопасности Android-смартфонов HTC, возникновение которой спровоцировал фирменный сервис «HtcLoggers.apk», отвечающий за сбор статистических данных. Коллеги Экхарта, Джастин Кейс (Justin Case) и Артем Руссаковский (Artem Russakovskii), проанализировали находку и вынесли конкретный вердикт: HTC допустила программную ошибку при разработке собственной утилиты, в итоге которой собранные ей сведения может получить, на теоретическом уровне, хоть какой желающий.
Программка не является трояном и для выуживания из нее сведений злодею будет нужно использовать посторонний софт, но для спеца это препядствия не составит. А именно «HtcLoggers.apk» готов дать сведения хоть какой программке, имеющей права на доступ в Веб. Получив информацию от утилиты HTC, она способна передать ее на удаленный сервер. Таким макаром, злодей может овладеть сведениями о географических координатах телефона (триангуляция по сотовым вышкам, точкам доступа Wi-Fi либо же данные GPS-приемника), номера телефонов, на которые совершались звонки, не так давно отправленные SMS-сообщения, адреса электрической почты, с которыми вел взаимодействие владелец телефона, системную информацию и т. д.
Сейчас понятно, что уязвимости подвержены последующие модели телефонов HTC: EVO 3D, EVO 4G, Thunderbolt, Sensation (включая операторские версии) и даже еще не вышедший Vigor. Эти устройства были испытаны программерами, хотя полностью возможно окажется так, что уязвимость находится на всех Android-гаджетах компании с более-менее новейшей версией Sense.
Неувязка суровая, но HTC не торопится на нее реагировать. Естественно, одномоментно такие дыры не запираются, но Экхарт написал о ней в компанию еще 24 сентября. В течение 5 дней он не получил никакого ответа, после этого обнародовал свою находку на веб-сайте Android Police. Видео с описанием и демонстрацией уязвимости показано ниже:
На данный момент в HTC ведется работа над решением препядствия (обнародование уязвимости подстегнуло компанию к действию), но официальных комментариев все еще не прозвучало.