Mellékleteink: HUP | Gamekapocs
Keres
AI és DevOps meetuppal folytatjuk a szezont! Május 22-23-án ismét lesz HWSW free! az Ankertben.

Hatalmas biztonsági rés az androidos HTC-ken

Gálffy Csaba, 2011. október 03. 11:54
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Rendkívül súlyos biztonsági hibát találtak a HTC Android-alapú okostelefonjaiban. A szakértők szerint a webes hozzáférés engedélyezése megnyitja a hozzáférést gyakorlatilag az összes, a telefonon tárolt személyes adathoz, beleértve az üzeneteket, névjegyzéket és GPS-adatok is.

"Szótlanul" hagyta a biztonsági szakembereket a HTC androidos okostelefonjaiban talált biztonsági rés. Az Android Police kutatása szerint ugyanis azok az alkalmazások, amelyek számára megadjuk az internethozzáférés lehetőségét, minden további akadály nélkül lekérdezhetik a HTC saját információgyűjtő programja által létrehozott adatokat, illetve azt probléma nélkül továbbküldhetik távoli szerverekre.

Nincs védelem

A hiba leírása relatíve egyszerű. A HTC a korábbi frissítések során egy HtcLoggers.apk nevű alkalmazást telepít a telefonra, amely részletes adatokat gyűjt a felhasználó szokásairól, beleértve személyes adatait is. Az összegyűjtött információkat távolról, egy megadott porton keresztül lehet lekérdezni: Az adatlekérés folyamata teljesen nyitott, így azokhoz bármilyen, internet-hozzáféréssel rendelkező alkalmazás hozzáfér.

A HtcLoggers.apk változatos parancsokat képes fogadni, sőt, rendelkezik súgóval is, amely listázza az elérhető funkciókat. Az elérhető információk köre rendkívül széles: az értesítési sávban megjelenő szövegtől a futó alkalmazások listájáig, a rendszerdumpoktól az egyes alkalmazások képernyőmentéségik rendkívül sok információ elérhető.

A hibát igazán érzékennyé teszi, hogy a webes hozzáférés engedélyezését gyakorlatilag minden alkalmazás kéri. A kliensprogramok természetszerűleg a központtal való kommunikációhoz használják, de még a játékprogramok is kapcsolódnak a netre a reklámok letöltéséhez. A felhasználók így gyakorlatilag teljesen védtelenek jelenleg az esetleges támadás ellen, a megoldást saját ROM telepítése vagy az összes internetes kapcsolatot igénylő alkalmazás eltávolítása lehet. Az első meghaladja az átlagos felhasználó technikai tudását, a második viszont szinte az összes programról való lemondást jelenti.

Az Android Police leírása szerint mivel a biztonsági rés a gyártó saját fejlesztésű információgyűjtő alkalmazásában található, más androidos készülékeket nem fenyeget. A gyártó azonban nem állt le az információgyűjtésnél, a frissítések során VNC-t is telepített a telefonokra. A távoli elérést biztosító alkalmazás ugyan nem fut automatikusan, azonban a szakértők feltételezése szerint egyes rendszerprogramok meghívhatják. A VNC teljes távoli hozzáférést biztosít a telefonhoz, mind az alkalmazásokhoz, mind a rajta tárolt adatokhoz, így a gyártó lépése legalábbis magyarázatra szorul. Egyelőre ugyanis nem tudni, hogy ki és milyen körülmények között léphet kapcsolatba a felhasználók telefonjával, illetve hogy hogyan lehet az alkalmazást letiltani.

Amerikából jöttem

Az Android Police egyelőre az Amerikában forgalmazott HTC-k esetében igazolta vissza a hiba meglétét, így az EVO 3D, EVO 4G és a Thunderbolt biztosan érintett, az EVO Shift 4G, a MyTouch 4G Slide és a Sensation pedig egyelőre a gyanús fázisban van. Az európai forgalmazásban szereplő telefonokról egyelőre nincs közelebbi információ, a szakértők szerint a proof-of-concept alkalmazás segítségével gyorsan vissza lehet igazolni a hiba meglétét. A szerkesztőségben található egyetlen HTC telefonon (Desire S) nem találtuk meg a HTC adatgyűjtő alkalmazását, ettől függetlenül egyelőre nem állítható, hogy az Európában eladott telefonok mentesek lennének a problémától.

A HTC gyakorlata súlyos kérdéseket vet fel. Az androidos alkalmazások telepítésekor aranyszabály, hogy csak "tiszta forrásból", vagyis megbízható cégek programjait telepítsük, azonban ha már a gyártó is ilyen agresszív, a felhasználót teljesen megkerülő (és adatait felelőtlenül kiteregető) gyakorlatot folytat, akkor mi számít megbízhatónak az androidos ökoszisztémában?

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Ismerd meg az ingatlan szakmát, leendő ügyfeleidet május 30-án, az első hazai ingatlan digitalizációs konferencián!