Как сообщается, смартфоны HTC на основе мобильной операционной системы Android, включая модели Evo 3D, Evo 4G и Thunderbolt, имеют большую дыру в безопасности, которая позволяет приложениям с интернет-соединением получать доступ к личным данным пользователя, включая архив SMS-сообщений, данные о местоположении, адрес электронной почты, телефонные номера.
Исследователи Артём Руссаковский (Artem Russakovskii), Джастин Кейс (Justin Case) и Тревор Эскхарт (Trevor Eckhart) обнаружили уязвимость на Android-смартфонах, вызываемую инструментами протоколирования, которые HTC установила на свои аппараты в рамках последнего обновления.
Подобные инструменты, как сообщает господин Руссаковский, обычно используются для удалённого анализа проблем устройства и последующего их устранения. Но проблема в том, что в данном случае в результате ошибки любое приложение с доступом к Интернету (запрашивающее доступ к android.permission.INTERNET) или с рекламой может получить доступ к следующему:
списку учётных записей пользователя, включая электронные адреса;
последнее известное местоположения сети и GPS, а также ограниченная статистика предыдущих местоположений;
список набранных номеров;
SMS-данные, включая номера телефонов и зашифрованные сообщения (не ясно, можно ли их декодировать, но это вполне вероятно);
протоколы работы системы (kernel/dmesg и app/logcat), которые включают все запускавшиеся приложения, а также, вполне вероятно, адреса электронной почты, номера телефонов и другие личные данные.
В настоящее время единственная возможность для пользователей устранить данную проблему — дождаться официального исправления от компании HTC или же произвести на телефоне джейлбрейк и удалить инструменты протоколирования HTCloggers. Тем пользователям, которые уже имеют root-права, рекомендуется удалить HTCloggers по следующему пути: /system/app/HtcLoggers.apk. Также стоит внимательнее относиться к скачиваемым приложениям, не устанавливая подозрительное ПО на смартфон.
Трое специалистов сообщили HTC о проблеме 24 сентября, затем подождали 5 бизнес-дней и затем опубликовали подробности. По словам господина Руссаковского, проблеме также могут быть подвержены аппараты Evo Shift 4G, MyTouch 4G Slide и Vigor, некоторые смартфоны Sensations и «скорее всего, другие устройства».
Артём Руссаковский применил такую метафору для описания данной уязвимости: «Это всё равно, что оставить ключи к дому под половичком и ждать, что никто их не обнаружит и не станет открывать дверь». Целиком с описанием проблемы можно ознакомиться на сайте Androidpolice, там же в качестве доказательства приведено приложение, способное получить доступ к личной информации владельца смартфонов HTC.
HTC активно проверяет данную проблему — компания выступила со следующим сообщением: «HTC относится к безопасности своих клиентов очень серьёзно, и мы работаем над изучением данного заявления, насколько возможно быстро. Мы предоставим обновление, как только определим точность сообщения о проблеме и шаги, которые следует предпринять».
Источник: 3dnews.ru
|
