Τεράστια τρύπα ασφαλείας αφήνει “ορθάνοιχτες” τις τελευταίες συσκευές της HTC

Προσοχή: αν έχετε μια τελευταία συσκευή της HTC, όπως τα Evo 3D ή το Thunderbolt, είναι πιθανότατο πως μπορεί τα προσωπικά σας δεδομένα να είναι “εκτεθειμένα” προς όποιον… “καλοθελητή” αποφασίσει να “απλώσει το χεράκι του” προς αυτά. Ας είναι καλά η HTC που φρόντισε να τοποθετήσει το αντίστοιχο μιας… spyware εφαρμογής στις τελευταίες τροποποιήσεις που έχει εφαρμόσει στο Android της Google, την οποία δεν πρόσεξε αρκετά ώστε να “κλειδώσει” για να μην είναι προσβάσιμη από τρίτους!

Χιούστον, έχουμε ΧΟΝΤΡΟ πρόβλημα…

Το πρόβλημα εντοπίστηκε από τον Trevor Eckhart , γνωστό ως κατασκευαστή ROMs για συσκευές της HTC, και φαίνεται να έχει επιβεβαιωθεί από τους Justin Case και Artem Russakovskii του site AndroidPolice. Εντοπίζεται δε σε κάποια εργαλεία καταγραφής στοιχείων που η HTC έχει προσθέσει στο Android, τακτική στην οποία αρέσκονται αρκετοί κατασκευαστές λειτουργικών συστημάτων, λογισμικού ή και συσκευών, αφού μέσα από τις πληροφορίες που συγκεντρώνουν αυτά, μπορούν να βελτιώσουν τις μελλοντικές υπηρεσίες τους. Έτσι, η HTC δεν έκανε κακόβουλα ό,τι έκανε – για παράδειγμα, ακόμη και το Steam της Valve καταγράφει τέτοια στοιχεία στα PCs μας, μα ήταν τραγικό σφάλμα από πλευράς της πως δεν φρόντισε να ασφαλίσει αρκετά το λογισμικό της.

Έτσι, οποιαδήποτε -μα οποιαδήποτε- εφαρμογή ζητήσει “πρόσβαση στο Internet” σε μια από τις “τρύπιες” συσκευές, και συγκεκριμένα την άδεια “android.permission.INTERNET”, μπορεί “να απλώσει χέρι” στα στοιχεία που καταγράφει το πρόσθετο λογισμικό της HTC. Ανάμεσα σε αυτά συγκαταλέγονται:

  • Η λίστα των λογαριασμών του χρήστη, μαζί με τις διευθύνσεις email και την “κατάσταση συγχρονισμού” τους.
  • Οι τελευταίες “γεωγραφικές θέσεις” που καταγράφηκαν μέσω GPS και δικτύου κινητής τηλεφωνίας, καθώς και ένα περιορισμένο ιστορικό παλαιότερων θέσεων.
  • Τηλεφωνικοί αριθμοί που έχουν καταγραφεί στον “κατάλογο κλήσεων” (phone log) των συσκευών.
  • Πληροφορίες για SMS, συμπεριλαμβανόμενων των αριθμών των κινητών και του κρυπτογραφημένου κειμένου αυτών.
  • Σχεδόν όλα τα “system logs”, δηλαδή, τους καταλόγους όπου έχουν καταγραφεί στοιχεία για τη λειτουργία της συσκευής (οι λινουξάδες της παρέας θα… φρίξουν: kernel/dmesg και app/logcat είναι “τα βασικά της παρέας”), όπου εντάσσονται και όλα όσα κάνουν οι ενεργές εφαρμογές και, πιθανότατα, διευθύνσεις email, τηλεφωνικοί αριθμοί και όποια άλλα προσωπικά δεδομένα βρίσκονται εκείνη τη στιγμή “σε χρήση”.

Ακόμη χειρότερο από ό,τι φαίνεται

Θεωρητικά, όπως επισημαίνει και ο Artem Russakovskii, τα παραπάνω αρκούν ακόμη και για να… κλωνοποιήσει κανείς πλήρως τη συσκευή του χρήστη (!), έχοντας πρόσβαση σε σχεδόν όλα τα δεδομένα του. Το πιο τραγικό; Η τρύπα έχει εντοπισθεί από τις 24 του τρέχοντος μήνα, οπότε και ο Trevor Eckhart έσπευσε να ενημερώσει σχετικά την HTC – η οποία ακόμη δεν έχει αξιωθεί να παράσχει την οποιαδήποτε απάντηση, το παραμικρό σχόλιο για το πρόβλημα!

Λογικά, η εταιρεία ήδη… τρέχει πανικόβλητη “να το φτιάξει”, αλλά αφού δεν υπήρξε τίποτα “επίσημο”, η παρεούλα των παραπάνω αναγκάστηκε να δημοσιεύσει τα στοιχεία σχετικά με την “τρύπα”, μαζί με οδηγίες για το πώς μπορεί κανείς “να την μπαλώσει μόνος του” – που, όμως, είναι αρκετά “advanced” για το μέσο χρήστη, προϋποθέτουν να έχει πρόσβαση root και, εν συντομία, να απενεργοποιήσει το συγκεκριμένο service της HTC που καταγράφει όλα αυτά τα στοιχεία (το Htcloggers που βρίσκεται στο /system/app/HtcLoggers.apk των συσκευών).

Οι υπόλοιποι, για την ώρα, θα πρέπει απλά να προσέχουν τι εφαρμογές κατεβάζουν – και από που. Προτιμήστε μόνο τις μεγαλύτερες και γνωστότερες προτάσεις κάθε κατηγορίας, μην κατεβάζετε ό,τι βρείτε μπροστά σας και, με την ευκαιρία, στείλτε και ένα μηνυματάκι στην HTC ρωτώντας “τι έγινε με αυτό το πρόβλημα”… μπας και διαθέσει μια “επίσημη” λύση για αυτό το συντομότερο δυνατόν!

Source:

I am quite speechless right now. Justin Case and I have spent all day together with Trevor Eckhart (you may remember him as TrevE of DamageControl and Virus ROMs) looking into Trev’s findings deep inside HTC’s latest software installed on such phones as EVO 3D, EVO 4G, Thunderbolt, and others.

...γνωστός και ως Οδυσσέας Κουράφαλος, αρχικός υπεύθυνος για το unregistered. Συντάκτης, γραφίστας, "μαλτιμηντιάς", φανατικός της science fiction και των αστείων γατιών στου ιντερνέτ. "Δηλώνω graphics whore" (παίζω Ms. Pac-Man στο MAME με 2xSAL και το πρώτο Max Payne με FXAA antialiasing). Load "unreg*",8,1.