Zelo resna varnostna ranljivost v HTC-jevih telefonih
Matej Huš
3. okt 2011 ob 15:20:25
Artem Russakovskii, Justin Case in Trevor Eckhart so odkrili, da je nova posodobitev, ki jo je HTC pretekli mesec izdal za svoje telefone, v njih odprla veliko varnostno luknjo, ki omogoča nepooblaščeno zbiranje osebnih podatkov v telefonu. O ranljivosti so HTC obvestili 24. septembra, a ker se v podjetju niso odzvali, so jo sedaj javno razkrili.
Problem je v vrsti orodij za zbiranje dnevniških podatkov (logging tools), ki jih je HTC z novo posodobitvijo namestil na telefone. Namenjeni so zbiranju kopice informacij in podatkov s telefona, ki bi v primeru težav omogočili lažjo identifikacijo in odpravo. Problem je, da zbranih podatkov niso primerno zaščitili.
Izkazalo se je, da lahko vsaka aplikacija, nameščena na HTC-jevem telefonu, z enostavnim zahtevkom android.permission.INTERNET dostopi do vseh podatkov na telefonu. To vključuje uporabniške račune, elektronsko pošto, GPS-lokacijske podatke, telefonske številke, SMS-sporočila itd. Ta zahtevek rutinsko posreduje vsaka aplikacija, ki potrebuje dostop do interneta, kar pomeni, da so podatki postavljeni na ogled praktično vsem aplikacijam. Nadaljnja analiza je pokazala, da se zbirajo tudi manj osebni podatki, kot so tip procesorja, pomnilnik, tekoči procesi, status baterije, sistemske nastavitve in še vrsta drugih.
Za zdaj enostavnega popravka ni. Uradna rešitev bo počakati na HTC-jevo posodobitev, ki bo neželeno vedenje onemogočila, že pred tem pa si lahko pomagamo z jailbreakom in odstranitvijo novonameščenih orodij. HTC se na navedbe ni odzval, a po neuradnih podatkih že pripravlja popravek.