A segurança em dispositivos Android continua comprometida. Desta feita é a HTC que, com uma aplicação sua, está a guardar informação crítica e privada na memória interna de alguns dos seus smartphones, facilmente acessível por terceiros.
O problema surge na forma como essa informação está guardada, o que possibilita que outras aplicações lhe acedam e usem essa informação.
Aquando da utilização de um smartphone HTC Sense pela primeira vez, pelo menos em novos smartphones americanos com HTC Sense, é perguntado ao utilizador se a HTC pode ou não reunir informação acerca da sua utilização. Essa informação, à partida, será útil à HTC no sentido de melhorar o seu software, portanto, se o utilizador aceitar a informação será enviada à HTC de forma consentida, se não aceitar… bem, a informação pode não ser enviada mas continua a ser reunida, internamente, no sistema.
Estando a aplicação HTC Sense inerente ao sistema, as permissões desse software não são declaradas. Isso permite à HTC gerir tudo como entender e, infelizmente, guardar a informação de forma insegura. Sendo agora esta vulnerabilidade tornada pública, poderão facilmente ser criadas aplicações que, uma vez sendo conhecido o local onde tal informação é armazenada, podem tratar maliciosamente toda essa informação. A única permissão necessária para que essa informação seja acedida é android.permission.INTERNET (acesso total à internet), que existe na generalidade das aplicações.
Os dados comprometidos dizem respeito à identificação do smartphone, localização geográfica, números telefónicos nos registos de chamadas e nomes de conta. Informações como palavras-passe, SMS ou IM não estão comprometidas.
Os smartphones HTC afectados são o EVO 4G, EVO 3D, Thunderbolt, EVO Shift 4G, MyTouch 4G Slide e Sensation (alguns). Apenas os smartphones com software original estão comprometidos. Os que tiverem uma ROM baseada no AOSP, como a CyanogenMod, não correm qualquer risco.
É possível corrigir este problema, de forma radical, para dispositivos com permissões de acesso root. Para tal, com as devidas permissões, basta remover a aplicação localizada em /system/app/HtcLoggers.apk. Se não tem acesso root e não quer que a sua informação seja comprometida, pelo menos até uma actualização proveniente da HTC, então não deve instalar aplicações que lhe pareçam suspeitas.
Se pretender verificar se o seu HTC está ou não vulnerável, poderá instalar a aplicação open-source “Proof of Concept”, nesta ligação, que permite verificar se existe ou não informação vulnerável na sua memória interna. Mais detalhes em AndroidPolice.
É ainda sabido que a HTC foi contactada, antes da vulnerabilidade ser tornada pública, no sentido de esclarecer este problema. Não foi obtida qualquer resposta em 5 dias úteis. Dado o problema ter sido aparentemente ignorado, decidiram tornar esta vulnerabilidade pública para que a HTC se mexa e implemente uma solução. [via]