Frissítés: súlyos biztonsági hiba a HTC egyes telefonjaiban

Az Android alapú mobil készülékekkel foglalkozó Android Police weboldalán egy olyan bejegyzés jelent meg, amely rövid időn belül komoly visszhangot váltott ki világszerte. Három kutató ugyanis a HTC egyes okostelefonjainak esetében egy jelentős biztonsági rést fedezett fel, amelynek kihasználásával viszonylag egyszerűen lehet az érintett készülékekről adatokat lekérdezni.

Trevor Eckhart, Artem Russakouskii és Justin Case kutatók a problémáról először szeptember 24-én értesítették a HTC-t, azonban miután egy hét elteltével sem kaptak érdemleges választ a cégtől, úgy gondolták, hogy a nyilvánossághoz fordulnak, és közzéteszik a felfedezésük részleteit. A sérülékenység lényegében egy HTC által fejlesztett, HtcLoggers nevű alkalmazásra vezethető vissza, amely a telefonokon folyamatosan naplózza a felhasználók bizonyos tevékenységeit valamint a készüléken tárolt adatokat. Emellett egy olyan "felületet" biztosít, amely egy meghatározott porton keresztül lekérdezhetővé teszi az összegyűjtött adatokat, illetve különféle műveletek elvégzésére ad lehetőséget. A lekérdezéshez nincs másra szükség, mint egy olyan alkalmazásra, amely rendelkezik az internet eléréséhez szükséges engedélyekkel.

Az eddigi vizsgálatok szerint a probléma az Amerikában forgalomba hozott EVO 3D, EVO 4G és Thunderbolt modelleket érinti, de elképzelhető, hogy a HTC Sensation is kockázatot rejt ebből a szempontból. Továbbá azt sem lehet kizárni, hogy az Egyesült Államokon kívül nem kerültek a boltok polcaira sebezhető okostelefonok.

A három kutató szerint a HTC alkalmazásában rejlő lehetőségek kihasználásával többek között az alábbi adatokhoz lehet hozzáférést szerezni:
- e-mail címek
- telefonszámok
- SMS-üzenetek
- GPS-koordináták
- Android verzióinformációik
- hálózati adatok
- rendszerváltozók, konfigurációs paraméterek
- memória dump
- alkalmazások listája.

Rik Ferguson, a Trend Micro biztonsági kutatásokért felelős igazgatója a mostani eset kapcsán elmondta, hogy a HTC vélhetőleg nem mérte fel jól, hogy valójában milyen adatokra van szüksége. A szakember szerint mindez inkább arra utal, hogy a vállalat nem volt kellően előrelátó, és nem hanyag programozásnak tudható be a hiba. Ferguson úgy véli, hogy a mostani sérülékenységet nem lesz bonyolult orvosolni.

A HTC vizsgálódik

A HTC a nagy sajtóvisszhang után reagált a történtekre, és közölte, hogy jelenleg is vizsgálja a kutatók által feltárt rendellenességet. A cég a közleményében hangsúlyozta, hogy amennyiben valóban beigazolódik a hiba létezése, akkor a lehető legrövidebb időn belül meg fogja tenni a szükséges lépéseket annak érdekében, hogy a biztonsági rést gyorsan be lehessen foltozni. Addig azonban, amíg a hibajavítás meg nem jelenik, a védekezés nem könnyű. Szakértők szerint elvileg jailbreakeléssel vagy root jogosultságok mellett, a htcloggers rendszerfájl letörlésével a biztonsági rés megszüntethető, azonban ez a módszer nem ajánlott, ugyanis a garancia elvesztésével, és a készülékek sérülésével járhat. Ezért azt tanácsolták, hogy a frissítés elérhetővé válásáig mindenki különös körültekintéssel töltsön le Andorid alkalmazásokat az érintett okostelefonokra.

Frissítés: A HTC elismerte a hiba létezését. A fejlesztők már elkészültek a javítással, amely jelenleg tesztelés alatt áll. A HTC szerint nemsokára rákerülhet a frissítés az érintett telefonokra.