Sist fredag publiserte XDA et sikkerhetshull funnet av TrevE, en anerkjent utvikler i XDA. Det er snakk om et sikkerhetshull i enkelte HTC telefoner som gjorde at enhver applikasjon med tilgang til internett, kunne få tilgang til en rekke forskjellige informasjon.
- Les også: Android blir oppdatert for tregt
Preinstallert loggings-app fra HTC lager hullet
HTCLogger er en fabrikk-levert app fra HTC som lar enhver app som har tilgang til internett på nyere enheter som for eksempel evo3d å få full tilgang til sensitiv info som nettverk, applikasjon-bruksstatistikk, siste 10 beliggenhets-oppdateringer og siste kjente steder, mm. Dette gjelder også enheter med nyere oppdateringer. du kan enkelt sjekke om applikasjonen ligger installert på telefonen din, den ligger her: /system/app/HtcLoggers.apk
Full liste over hvilke tilganger HTCLogger kan gi vekk:
String ACCESS_COARSE_LOCATION Allows an application to access coarse (e.g., Cell-ID, WiFi) location
String ACCESS_FINE_LOCATION Allows an application to access fine (e.g., GPS) location
String ACCESS_LOCATION_EXTRA_COMMANDS Allows an application to access extra location provider commands
String ACCESS_WIFI_STATE Allows applications to access information about Wi-Fi networks
String BATTERY_STATS Allows an application to collect battery statistics
String DUMP Allows an application to retrieve state dump information from system services.
String GET_ACCOUNTS Allows access to the list of accounts in the Accounts Service
String GET_PACKAGE_SIZE Allows an application to find out the space used by any package.
String GET_TASKS Allows an application to get information about the currently or recently running tasks: a thumbnail representation of the tasks, what activities are running in it, etc.
String READ_LOGS Allows an application to read the low-level system log files.
String READ_SYNC_SETTINGS Allows applications to read the sync settings
String READ_SYNC_STATS Allows applications to read the sync stats
TrevE har også laget en såkalt «proof of concept» applikasjon for å påvise sikkerhetshullet. Les mer om sikkerhetshullet på denne siden. Der kan du også laste ned applikasjonen til TrevE og prøve selv.
HTC setter utviklerne sine på saken
Nå skriver XDA at HTC gjør noe med saken. HTC sier i en offentlig melding (se hele meldingen deres under videon) at ingen har så langt rapportert å være berørt av dette hullet, noe som er bra. Hvis de når får sendt ut en OTA (Over The Air) oppdatering til de berørte så raskt som mulig, er det helt topp.
XDA poengterer for øvrig at de har funnet flere hull som blir publisert snart på deres nettsider og oppfordrer HTC til å følge med videre, men skryter av dem for å gjøre noe med problemet.
HTC Public Statement:
HTC takes claims related to the security of our products very seriously. In our ongoing investigation into this recent claim, we have concluded that while this HTC software itself does no harm to customers’ data, there is a vulnerability that could potentially be exploited by a malicious third-party application. A third party malware app exploiting this or any other vulnerability would potentially be acting in violation of civil and criminal laws. So far, we have not learned of any customers being affected in this way and would like to prevent it by making sure all customers are aware of this potential vulnerability.
HTC is working very diligently to quickly release a security update that will resolve the issue on affected devices. Following a short testing period by our carrier partners, the patch will be sent over-the-air to customers, who will be notified to download and install it. We urge all users to install the update promptly. During this time, as always, we strongly urge customers to use caution when downloading, using, installing and updating applications from untrusted sources.
De som er påvirket er anbefalt å fjerne HTCLogger, men dette krever root-tilgang på enheten. Hvis du er modig, kan du vente på HTCs OTA oppdatering. Filen ligger her: /system/app/HtcLoggers.apk
Kilder: www.xda-developers.com og infectedrom.com
Om forfatter
Loading ...