Обнаруженная в Android-смартфонах HTC уязвимость позволяет злоумышленникам дистанционно получить данные, которыми пользователи вряд ли бы поделились с кем-то незнакомым. Компания достаточно нерасторопно отнеслась к находке и пока не выпустила патч. Группа экспертов по информационной безопасности обнаружила уязвимость в прошивке к различным моделям смартфнов HTC, которая позволяет получить удаленный доступ к хранящимся в мобильном устройстве персональным данным, сообщает Android Police. При обновлении программного обеспечения вместе с другими файлами HTС записывает в память устройства приложение HtcLoggers.apk, предназначенное для сбора статистической информации. При этом все эти данные приложение готово передать по запросу любой другой программе, которая имеет разрешение на доступ в интернет, открывая передачу данных по локальному порту. Таким образом, любое приложение, имеющее доступ в интернет, может получить все данные, собранные HtcLoggers.apk, и, так как опять же обладает необходимыми разрешениями, передать их на любой удаленный сервер.
Используя эту схему, можно получить сведения практически любого характера: список пользовательских учетных записей, координаты близлежащих базовых станций (то есть фактически и координаты самого абонента), номера телефонов, по которым осуществлялись звонки и были отправлены SMS-сообщения за последнее время, и системную информацию.
Проблема, как выяснили специалисты, касается следующих моделей смартфонов HTC: Evo 4G, Evo 3D, Thunderbolt, Evo Shift 4G, MyTouch 4G Slide, некоторых версий Sensation, еще не вышедшего Vigor и, скорее всего, многие другие модели HTC на Android, если не все.
Уязвимость была обнаружена 24 сентября, и о ней сразу же сообщили HTC. Не получив ответа, спустя 5 рабочих дней специалисты решились раскрыть свою находку, надеясь таким способом подтолкнуть производителя к более активному участию. По сведениям специалистов, в настоящее время HTC занимается проблемой, однако официального сообщения так и не появилось.
Эксперты опубликовали описание уязвимости, чтобы HTC поторопилась выпустить патч
Эксперты рекомендуют владельцам смартфонов HTC, которые не желают дожидаться патча, взломать прошивку и вручную удалить HtcLoggers.apk.
Одним из экспертов, который проанализировал уязвимость, стал Джастин Кейс (Justin Case), который ранее нашел похожую «дыру» в приложении Skype для Android, а прежде – написал патч для Android, который позволил обойти хваленую защиту Google от распространения пиратских приложений.
В августе был обнаружен троян, который позволял незаметно записывать разговоры на Android-смартфонах. И хотя он требует разрешения на установку и перехват телефонных звонков, пользователи настолько привыкли соглашаться с подобными запросами, что большинство из них не заметит опасность, считают эксперты.
В отчете, выпущенном в конце весны, исследователи из Juniper Networks признали Android самой любимой платформой среди создателей вредоносных приложений. По словам директора поставщика технологий безопасности Dasient Нейла Дасвани (Neil Daswani), за последние 2 года число вредоносных программ для Android удвоилось. Однако рост числа угроз свойственен всей смартфонной индустрии. Это происходит потому, что программное обеспечение усложняется, а на мобильных устройствах появляется масса персональных данных, которыми злоумышленники стремятся воспользоваться.