Proponha uma correção, faça uma sugestão
Alguns smartphones Android HTC têm vulnerabilidade grave
A segurança em dispositivos Android continua comprometida. Desta feita é a HTC que, com uma aplicação sua, está a guardar informação crítica e privada na memória interna de alguns dos seus smartphones, facilmente acessível por terceiros.
O problema surge na forma como essa informação está guardada, o que possibilita que outras aplicações lhe acedam e usem essa informação.
Aquando da utilização de um smartphone HTC Sense pela primeira vez, pelo menos em novos smartphones americanos com HTC Sense, é perguntado ao utilizador se a HTC pode ou não reunir informação acerca da sua utilização. Essa informação, à partida, será útil à HTC no sentido de melhorar o seu software, portanto, se o utilizador aceitar a informação será enviada à HTC de forma consentida, se não aceitar... bem, a informação pode não ser enviada mas continua a ser reunida, internamente, no sistema.
Estando a aplicação HTC Sense inerente ao sistema, as permissões desse software não são declaradas. Isso permite à HTC gerir tudo como entender e, infelizmente, guardar a informação de forma insegura. Sendo agora esta vulnerabilidade tornada pública, poderão facilmente ser criadas aplicações que, uma vez sendo conhecido o local onde tal informação é armazenada, podem tratar maliciosamente toda essa informação. A única permissão necessária para que essa informação seja acedida é android.permission.INTERNET (acesso total à internet), que existe na generalidade das aplicações.
Os dados comprometidos dizem respeito à identificação do smartphone, localização geográfica, números telefónicos nos registos de chamadas e nomes de conta. Informações como palavras-passe, SMS ou IM não estão comprometidas.
Os smartphones HTC afectados são o EVO 4G, EVO 3D, Thunderbolt, EVO Shift 4G, MyTouch 4G Slide e Sensation (alguns). Apenas os smartphones com software original estão comprometidos. Os que tiverem uma ROM baseada no AOSP, como a CyanogenMod, não correm qualquer risco.
É possível corrigir este problema, de forma radical, para dispositivos com permissões de acesso root. Para tal, com as devidas permissões, basta remover a aplicação localizada em /system/app/HtcLoggers.apk. Se não tem acesso root e não quer que a sua informação seja comprometida, pelo menos até uma actualização proveniente da HTC, então não deve instalar aplicações que lhe pareçam suspeitas.
Se pretender verificar se o seu HTC está ou não vulnerável, poderá instalar a aplicação open-source "Proof of Concept", nesta ligação, que permite verificar se existe ou não informação vulnerável na sua memória interna. Mais detalhes em AndroidPolice.
É ainda sabido que a HTC foi contactada, antes da vulnerabilidade ser tornada pública, no sentido de esclarecer este problema. Não foi obtida qualquer resposta em 5 dias úteis. Dado o problema ter sido aparentemente ignorado, decidiram tornar esta vulnerabilidade pública para que a HTC se mexa e implemente uma solução. [via]
Este artigo tem mais de um ano
Loading ...
Deixa ver, a HTC faz um aplicação que reúne informação que depois alguém pode aceder. Onde é que Android entra no meio disto tudo mesmo?
Assaltaram-me a casa, tinha um iPhone cá dentro.
Conclusão lógica:
A culpa é do iPhone
Mas alguém está a dizer que a culpa é do Android OS?
A situação sucede em smartphones HTC que tenham o Android OS fornecido pela HTC.
A culpa é da HTC, pela app que fizeram que permite que qualquer outra app com permissões de acesso à internet tenha acesso a tudo o que a app da HTC tem.
Leiam melhor antes de fazer acusações e posts disparatados.
Lol, Olha este com a mania da perseguição lol
Não leu o post todo, e pensou logo “Estão a dizer que a culpa é do Android” Lol
Gostei de ele dar logo o exemplo do iPhone lol
Mais um que queria ter um iPhone e não tem. lol
lol
Fizeste responder à pessoa errada, não foi para mim de certeza!
Sabes que quando alguém critica iPhone é porque é um wannabe de iPhone user. Não ligues.
lol.
Eu gosto destes artistas, “mais um que queria ter um iPhone e não tem”.
Até te digo mais, comprei o meu Htc Incredible S por 430 euros, na altura ainda não tinha saído o Sensation, se não dava os 500 ou 600 euros por ele.
A razão de não comprar um iPhone não é por este ser melhor ou pior, mas sim pela sua “politica” da Apple, quando a Apple mudar de politica, certamente comprarei produtos Apple.
Da-me nojo é pessoal que só por comprar alguma coisa da Apple e alguém não querer comprar, já pensam que é porque não tem dinheiro. Acham que ter Apple é ser de uma elite.
Mas eu gosto é daqueles artistas que compram um iPhone e nem uma tarifa de dados tem.
Para que querem um smartphone sem tarifa de dados?
Ao menos tenho o meu smartphone o meu plano de facturação, com 50 euros em chamadas por mês e tarifa de dados (a empresa paga).
É a vida de um Analista/Programador, quantos iPhones queres que compre?
Cumprimentos.
“Da-me nojo é pessoal que se julga mais que os outros por comprar Apple, e que se alguém critica a Apple, é porque não tem dinheiro para comprar.
Pensam que ter Apple é pertencer a uma elite.”
Correcção.
Esta é outra das razões por qual não compro Apple.
Eles têm sempre a mesma resposta. “Querias ter um iPhone” É impossível discutir de uma forma civilizada e saudável. É a vida de um empresário/administrador de sistemas 😀 😀 😀
Percebo o porquê do Paulo Gerardo dizer isso. A primeira frase do artigo dá a entender isso:
“A segurança em dispositivos Android continua comprometida.”
Apesar disto ter acontecido em dispositivos Android, nada tem a ver com a plataforma em si. A vulnerabilidade está na aplicação e não no sistema operativo.
Essa frase que citas não generaliza e é completamente verdadeira mas na verdade pode suscitar algumas dúvidas. Para as esclarecer, basta ler a frase seguinte.
Ao fim de 3 comentários o tema já é Iphone…enfim
É triste é que a empresas simplesmente não tenham respeito pelos clientes o que eu tenho contra estas coisas é onde na noticia referem que é pedido para guardar e enviar informação e sendo a resposta não esta continue a ser guardada mesmo que não enviada, isso é o mesmo que não perguntar. Ja aconteceu com muitos por isso ninguém se fica a rir a apple também não é um grupo de anjinhos já houve a conversa do de guardar a informação de localização GPS ( para refrescar a memoria de quem começa logo a tirar partidos de SO) são todos iguais e quem é o palhaço no meio disto é sempre o cliente.
Offtopic:
Ainda falta muito para a review completa do Galaxy Tab 10.1??
Ai à cerca de 1 mês saiu um post que dizia que estavam a testar o Galaxy Tab 10.1 e que brevemente saia um review…
Está mesmo aí “a rebentar” 😉
Lá estão vocês… get a life!
Aproveito já que o JP colocou essa questão, queria perguntar se me sabem dizer se o “SGS2 LTE” vai chegar a Portugal, se sim, mais ou menos quando? Vão postar alguma Review do mesmo?
Isso talvez dependerá apenas da abrangência desse tipo de tecnologia a nível nacional. Se se justificar, sim, será testado para verificar a qualidade da ligação (e a velocidade de 1.5GHz nele prevista).
Exacto exacto, é como o novo iphone, o previsto dele é de 1.5ghz.. Já estive a dar uma vista de olhos no SGS2 LTE e realmente é muito rápido, mesmo como o próprio S2.
Ao contrário do que é noticiado aqui, as sms’s também estão comprometidas, como é referido no artigo da Android Police:
SMS data, including phone numbers and encoded text (not sure yet if it’s possible to decode it, but very likely)
@Hugo Cura, não sei se viste este comentário, mas será melhor emendar o artigo….
Sim li, tal como li o artigo que referes na íntegra (como podes ver, foi a minha fonte).
Até existirem provas em contrário (descodificação das SMS), “Informações como (…) SMS não estão comprometidas.”. Portanto, está correctíssimo “à data”.
São umas a seguir à outras…
Tive um Samsung Galaxy 551 e também perguntava sobre guardar dados para melhorar a experiência etc etc e realmente dava para dizer que não, não faço ideia os Samsungs também sofrem deste “mal”. No meu Ideos X5 não sei porque foi logo com ROM à lá carte logo mal o liguei 🙂
Só um aparte que Rom tem no X5? Está estável?
Muito muito estável, tem as funções a 99%… Uso a Oxygen 2.2.2 R3 (Android 2.3.5)+Francisco.Kernel (um tuga grande programador, Franciso Franco acho que aparece por aqui às vezes)
como nunca tive telemóvel android, não era suposto o acesso root ter uma password , como acontecesse nos sistemas como o unix/freebsd e GNU/Linux nos pcs.
Podes ter um programa de root premissions e cada vez que algum programa queira ter acesso root ele pergunta se permites ou não. Se não estiveres a usar o telemóvel e não responderes ao pop-up ele automaticamente recusa o acesso.
Eu bem me parecia que mudar de ROM era uma boa ideia…
“Os que tiverem uma ROM baseada no AOSP, como a CyanogenMod, não correm qualquer risco.”
As Custom Rom’s. E eu com mentalidade antiga era contra elas. Até que houve “certa pessoa” que me disse umas coisas que nunca mais esqueci e que me deram a volta á cabeça. Agora são umas atrás das outras. Até o meu Asus Eee Pad Transformer já tem uma em Android 3.2.1 com overclocks de cpu até os 1656 Mhz.
Esta malta do XDA-Developers é formidável. Faz “milagres”
Cumps.
É preciso ver até que ponto essas ROMS são fiáveis, até que ponto pessoas que não conhecemos são de confiança.
Até que ponto alguém testou essas roms.
A comunidade toda testa ROMs de toda a comunidade. Não vás por aí que não há saída 😉
Se há coisa bem esmiuçada são as Custom ROMs…
Não vamos mais longe no blog da CyanogemMod fala-se que o eles foram contratados pela Samsung.
“http://www.cyanogenmod.com/blog/the-state-of-cyanogenmod”
E digo-te mais, tenho muito mais confiança na comunidade que faz as ROMs do que as empresas que vendem os telemóveis com as ROMs deles.
Ainda não investiguei, apenas tenho curiosidade.
Isto é uma das razões pela qual fiz root ao meu HTC e lhe meti uma ROM decente 😛
Por acaso num dos meus HTC’s tinha o HtcLoggers.apk, removi-o com o rootuninstaller 🙂
acho mesmo com esse programa não garante segurança, no sistema pois não pede password , acho que deveria ser igual como nos sistemas de pc, isso é um grave erro de segurança , as aplicações nunca devem ter permissões root automáticas, pois com isso com simples script pode-se fazer uma ligação remota sem que o utilizador do telemóvel fique a saber.
Isso não é verdade. Todas as permissões root são controladas pela aplicação “Superuser” e, mesmo que o utilizador opte por adicionar determinada aplicação como “confiável”, sempre que essa aplicação faz esse acesso aparece um popup no ecrã a referi-lo. (algo como mostra este screenshot)
uma pergunta, que tipo de aplicações no android tem acesso a root?
Podes ver aqui alguns exemplos.
mas acho que com a password é mais seguro,
Vou aqui dar uma palavrinha aqueles que tanto criticam o IOS.
Saiba-se que sou utilizador ANDROID e pura e simplesmente adoro.
Contudo também sei reconhecer que IOS e iPhone são um “must have” para todos, um iPhone não é só um mero smartphone é também uma peça de arte/acessório. Acima de tudo a maturidade do seu SO e qualidade de construção tornam-no num dos melhores senão o melhor smartphone da actualidade.
Continuo a dizer que sou utilizador android e simplesmente adoro.
Para terminar quero dizer que embora não tendo um HTC isso é problema que a mim não me afectaria de certeza uma vez que sou um “flashaholic”
o problema nada tem haver com Android, mas sim com o ultimo firmware do Sense, q a HTC gosta de meter em todos os seus telefones…
dizer que o iPhone é um “must have” é a tua opinião, podes dizer que tem um design elegante e uma boa construção, mas a nível de especificações, há smartphones superiores, e o mais engraçado é q chegam a ser 200€ mais baratos.
para mim o melhor smartphone da actualidade é o SGS2, só não tem o carisma do iphone e a construçao em plastico é 1 ponto negativo… mas para mim é o melhor.. um, must have 😉
Isso talvez seja verdade … até amanhã.
Instalaste uma ROM de um desses sites conhecidos, pessoal de confiança.
Pessoal isto nao passa de mais publicidade. Todas as empresas de software nomomento andar por ai a querer saber o que podem tirar dos clientes para fins diversos. Para mim este problema deveria ser exposto no plano da Uniao Europeia a fim de se evitarem abusos. A Microsoft, Apple e outros acho que tinham sido avisadas mas a maior parte dos utilizadores nunca sabe. O que o pessoal quer e um telefone cool que tire umas fotos e que de para por de imediato na feira das vaidades. E bom que estas noticias saiam mas no fim acabam por nao o ser porque infelizmente isto e pratica corrente de todos.
Normalmente quem faz ROMS, são de paginas conhecidas e o pessoal todo confia.
Mas serão assim tão de confiança?
Vejo muito pessoal a deitar foguetes, e falta saber se no final a história não é outra.
Se vais pensar assim, não andas de transportes públicos porque não confias nas pessoas que os conduzem, não vais ao medico porque não confias na pessoa que te medica… Serão de confiança só porque têm um papel a dizer que são profissionais?
Eu não tenho dados que suportem o que vou dizer, portanto pode ser mentira, mas estas custom roms se calhar, são mais bem testadas e esmiuçadas que muitas das roms oficiais. São centenas de users a reportarem bugs e a enviarem logs de performance se algo não corre bem. Se a rom não tem o desempenho ou comportamento desejado/previsível são outros tantos a olharem para debaixo do “capôt” para verificar o que se passa. Se mesmo assim não confiares, podes pedir o código fonte e verificar se algo foi alterado.
Até agora ainda não tive curiosidade de testar roms, e obter mais informação acerca de este tema.
Quanto a comparação que fizeste não tem nada há ver, é precisamente o contrario.
Eu tenho um HTC e não me sinto assustado com esta noticia.
O que colocava em causa é acharem que HTC ou outras marcas não são de confiança, mas estas comunidades que faz Roms, sim.
É preciso muita atenção e instalar roms de comunidades com boa reputação.
Se não podes estar a instalar uma rom maliciosa.
“É preciso muita atenção e instalar roms de comunidades com boa reputação.
Se não podes estar a instalar uma rom maliciosa.”
Se tu próprio dizes que nunca testaste ROMs e precisas de obter mais informação acerca desse tema, como alegas o que citei? E só porque sim e porque tens “fé” nisso?
Oh Caro Amigo
Tanta desconfiança. Faz como eu, depois da primeira pegou-me o “vício” e agora são umas atrás das outras. Se não se gosta do que se instala, apaga-se e faz-se restore doutra de que mais gostamos.
No meu Ideos X5 tenho agora 12 backups, além da original Froyo, tenho várias versões das CyanogenMod, da Oxygen e da MIUI. E o X5 não se zanga nem se queixa. Até aguenta overclocks de 1800 Mhz quando eu quero.
Isto é trabalho sério de gente de confiança em que nós acabamos por estar metidos a colaborar, ás tantas.
Deixa-te desses lamentos e começa !!!
Os pais da história puseram um vídeo e tudo.
http://www.androidpolice.com/2011/10/01/massive-security-vulnerability-in-htc-android-devices-evo-3d-4g-thunderbolt-others-exposes-phone-numbers-gps-sms-emails-addresses-much-more/
É bastante mais do que guardar dados da localização, que foi uma história do iP
…história do iPhone há uns tempos atrás (o Android também guardava/guarda, mas os dados não estavam tão acessíveis).
Agora é assim, quem quiser explorar a vulnerabilidade daqueles modelos da HTC, com a rom da HTC, tem acesso que ter acesso ao equipamento. Pode é alguém criar uma app “maliciosa” que tenha também acesso a esses dados e os transmita. Até a HTC lançar o patch a medida de segurança é não instalar app de sítios manhosos.
Por acaso acho que esses dados, embora seja bastante mais do que os tais endereços de localização aproximada, nem são nada por aí além.
Agora, para quem instala app de sites manhosos há vulnerabilidades de segurança bem mais sérias.