Wyciekające dane ze smartfonów HTC

4 października 2011 0 przez Marcin Kaczmarek

Serwis Android Police opublikował informacje o luce w smartfonach HTC, związanej z narzędziem HTCLoggers.apk zapisującym dzienniki dotyczące pracy systemu. Program rejestruje wszystkie działania użytkownika, a także inne szczegóły związane z urządzeniem, np. pozycję GPS. Jednocześnie ma lukę, która pozwala łatwo uzyskać zapisane w dzienniku dane. Problem dotyczy telefonów Evo 3D, Evo Shift 4G i Thunderbolt, a także prawdopodobnie Sensation i MyTouch 4G. Oczywiście podejrzenia padają również na modele Vigor i Kingdom, które jeszcze nie trafiły na sklepowe półki.

Ze smartfonów HTC można wykraść informacje takie jak listy kont użytkowników (w tym kont e-mailowych), listy ostatnio używanych sieci oraz pozycji GPS, numery telefonów z listy połączeń, dane wiadomości SMS (numery telefonów oraz ich zaszyfrowaną treść – całkiem możliwe, że łatwą do odszyfrowania). Są to także informacje z logów systemowych oraz pełne detale dotyczące sprzętu i systemu (procesor, pamięć, adres IP, zainstalowane aplikacje, uruchomione procesy itd.). Narzędzie, które rejestruje tego typu dane, już samo w sobie budzi podejrzenia, ale teoretycznie ma pomagać twórcom oprogramowania w wykrywaniu błędów w aplikacjach.

Najgorsze jednak jest to, że dostęp do zgromadzonych danych jest banalnie prosty – wystarczy dowolna aplikacja, działająca ze standardowymi uprawnieniami, mająca pozwolenie na łączność z internetem (włączony atrybut android.permission.INTERNET). Nie trzeba chyba wspominać, że większość aplikacji ma domyślnie takie uprawnienia. Dlaczego logi zawierające olbrzymie ilości takich danych są tak łatwo dostępne?

Luka została odkryta 24 września, firma HTC została natychmiast o niej poinformowana. Ponieważ w ciągu ubiegłego tygodnia "odkrywcy" nie doczekali się na reakcję, w weekend podali informacje do publicznej wiadomości. Obecnie HTC twierdzi, że pracuje nad rozwiązaniem problemu.