В программном обеспечении Android-смартфонов компании HTC обнаружена уязвимость, позволяющая сторонним приложениям с ограниченными правами получать доступ к целой массе конфиденциальных данных пользователей. В HTC об этой "дыре" знают, но пока молчат.
Об уязвимости сообщает блог Android Police, команда которого её и обнаружила. По данным этого техноблога, уязвимость появилась вместе с последними фирменными обновлениями прошивки (HTC Sense) для ряда моделей — точнее, вместе с включённой в обновления утилитой для сбора информации HtcLoggers.apk.
Как выяснилось, данное приложение не только собирает с телефона целую массу информации для каких-то внутренних целей HTC, но и предоставляет к ней доступ практически кому угодно — были бы права на подключение к Интернету. Любое приложение с такими правами, используя интерфейс HtcLoggers, может считать список учётных записей пользователя вместе с email-адресами и синхронизированными данными, сведения о последних местоположениях устройства (GPS-координаты), номера телефонов, с которыми пользователь недавно созванивался или обменивался SMS-сообщениями, сами эсэмэски (в зашифрованном, правда, виде), системные логи, различную информацию о системе, список установленных приложений и тому подобное.
Насколько в действительности простираются шпионские возможности таких приложений, исследователи и сами ещё до конца не знают. HtcLoggers собирает данные буквально мегабайтами (для примера: на принадлежащем главреду Android Police Артёму Русаковскому (Artem Russakovskii) HTC EVO 3D утилита сохранила файл в 3,5 Мб), и полное содержание лог-файлов ещё не изучено.
Впрочем, это наверняка знают в HTC, но пока не признаются. В Android Police говорят, что сообщили производителю о "дыре" ещё 24 сентября, но компания никак на это не отреагировала в течение 5 рабочих дней, и здесь решили предать эту информацию гласности. Теперь, по данным блога, в HTC уже взялись изучать проблему, но официального сообщения компания пока не делала.
Надо также заметить, что HtcLoggers не запускается автоматически: пользователь должен явно разрешить ей собирать данные. С другой стороны, к защите этих данных разработчики не приложили никаких усилий. Более того, поскольку доступ к логам возможен для приложений с интернет-правами, это автоматически означает, что такие приложения могут всю эту конфиденциальную информацию тут же переслать "куда надо".
Известно, что уязвимость затрагивает такие аппараты как EVO 4G, EVO 3D, Thunderbolt, EVO Shift 4G, MyTouch 4G Slide и Sensation; возможно, что ими проблема не ограничивается. В настоящий момент устранить её можно, только получив рут-доступ и удалив приложение HtcLoggers.
BBC передаёт официальное заявление HTC. В компании (вполне ожидаемо) говорят, что работают над изучением проблемы "так быстро, как это только возможно" и что обновление будет выпущено как только, так сразу. Чего здесь не говорят, так это того, почему здесь не приняли всерьёз сообщение от исследователей, дождались публичного обсуждения проблемы и только потом принялись действовать "так быстро, как это только возможно".
webplanet.ru
