По сообщениям нескольких независимых специалистов, в устройствах HTC EVO (3D и 4G) и HTC ThunderBolt (а также и в других моделях производства HTC) найдена уязвимость, позволяющая сторонним приложениям получать доступ к приватным данным пользователя - координатам геолокации, адресу электронной почты, СМС и др.
Все модели, имеющие данную уязвимость, работают на платформе Android. В последнее время компания НТС выпустила серию обновлений ПО для своих смартфонов, в результате чего любое приложение на смартфоне, запрашивающее разрешение на выход в интернет, может получить доступ в следующим данным пользователя: списку электронных почтовых ящиков, координатам GPS, истории геолокации, телефонным номерам, данным СМС, системным логам (куда записываются данные любых запущенных на смартфоне приложений - включая электронные адреса, номера телефонов и др.), IP-адресам, информации о процессоре и системе, списку установленного ПО, снимкам запущенных на смартфоне процессов и т.д.
Таким образом, безобидное с виду Android-приложение, которое пользователь HTC EVO установит себе на смартфон, может запросить у владельца аппарата доступ к интернету. Получив разрешение на этот доступ, приложение автоматически получит доступ и к вышеуказанным приватным пользовательским данным. Что, естественно, является абсолютно недопустимым.
Основная ответственность за "дыру" в безопасности возлагается на приложение HtcLoggers.apk, которое компания устанавливает в свои смартфоны на платформе Android с целью сбора данных о телефоне и пользователе. Как оказалось, данное приложение может давать доступ к собранным им данным любой сторонней программе, получившей разрешение на выход в интернет.
В доказательство существования обнаруженной уязвимости, один из специалистов, её обнаруживших - Trevor Eckhart (Тревор Экхарт), опубликовал видео, на котором продемонстрировал возможность кражи личных данных со смартфона HTC.
При этом всё, что остаётся делать обладателям "дырявых" смартфонов - это ждать обновления ПО от HTC, либо попробовать самостоятельно получить права администратора в системе и удалить приложение HtcLoggers.apk.
В список устройств НТС, подверженных данной уязвимости, входят: MyTouch 4G Slide, EVO Shift 4G, EVO 3D, EVO 4G, Thunderbolt, серия Sensation и (возможно) другие модели.
После обнаружения уязвимости, Тревор пытался рассказать о ней представителям НТС, но, так и не получив ответа в течение пяти дней, решил опубликовать результаты в интернете, в надежде, что в таком случае НТС быстрее "зашевелится".
04.10.2011
0
Комментарии
(0)
Обсуждение
