:

Szerző: Gálffy Csaba

2011. október 3. 11:54

Hatalmas biztonsági rés az androidos HTC-ken

Rendkívül súlyos biztonsági hibát találtak a HTC Android-alapú okostelefonjaiban. A szakértők szerint a webes hozzáférés engedélyezése megnyitja a hozzáférést gyakorlatilag az összes, a telefonon tárolt személyes adathoz, beleértve az üzeneteket, névjegyzéket és GPS-adatok is.

"Szótlanul" hagyta a biztonsági szakembereket a HTC androidos okostelefonjaiban talált biztonsági rés. Az Android Police kutatása szerint ugyanis azok az alkalmazások, amelyek számára megadjuk az internethozzáférés lehetőségét, minden további akadály nélkül lekérdezhetik a HTC saját információgyűjtő programja által létrehozott adatokat, illetve azt probléma nélkül továbbküldhetik távoli szerverekre.

Nincs védelem

A hiba leírása relatíve egyszerű. A HTC a korábbi frissítések során egy HtcLoggers.apk nevű alkalmazást telepít a telefonra, amely részletes adatokat gyűjt a felhasználó szokásairól, beleértve személyes adatait is. Az összegyűjtött információkat távolról, egy megadott porton keresztül lehet lekérdezni: Az adatlekérés folyamata teljesen nyitott, így azokhoz bármilyen, internet-hozzáféréssel rendelkező alkalmazás hozzáfér.

A HtcLoggers.apk változatos parancsokat képes fogadni, sőt, rendelkezik súgóval is, amely listázza az elérhető funkciókat. Az elérhető információk köre rendkívül széles: az értesítési sávban megjelenő szövegtől a futó alkalmazások listájáig, a rendszerdumpoktól az egyes alkalmazások képernyőmentéségik rendkívül sok információ elérhető.

A hibát igazán érzékennyé teszi, hogy a webes hozzáférés engedélyezését gyakorlatilag minden alkalmazás kéri. A kliensprogramok természetszerűleg a központtal való kommunikációhoz használják, de még a játékprogramok is kapcsolódnak a netre a reklámok letöltéséhez. A felhasználók így gyakorlatilag teljesen védtelenek jelenleg az esetleges támadás ellen, a megoldást saját ROM telepítése vagy az összes internetes kapcsolatot igénylő alkalmazás eltávolítása lehet. Az első meghaladja az átlagos felhasználó technikai tudását, a második viszont szinte az összes programról való lemondást jelenti.

07:33
 

Android Security Elevation With HTCLoggers.apk (EVO 3D/4G, Thunderbolt, more)

Még több videó

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Az Android Police leírása szerint mivel a biztonsági rés a gyártó saját fejlesztésű információgyűjtő alkalmazásában található, más androidos készülékeket nem fenyeget. A gyártó azonban nem állt le az információgyűjtésnél, a frissítések során VNC-t is telepített a telefonokra. A távoli elérést biztosító alkalmazás ugyan nem fut automatikusan, azonban a szakértők feltételezése szerint egyes rendszerprogramok meghívhatják. A VNC teljes távoli hozzáférést biztosít a telefonhoz, mind az alkalmazásokhoz, mind a rajta tárolt adatokhoz, így a gyártó lépése legalábbis magyarázatra szorul. Egyelőre ugyanis nem tudni, hogy ki és milyen körülmények között léphet kapcsolatba a felhasználók telefonjával, illetve hogy hogyan lehet az alkalmazást letiltani.

Amerikából jöttem

Az Android Police egyelőre az Amerikában forgalmazott HTC-k esetében igazolta vissza a hiba meglétét, így az EVO 3D, EVO 4G és a Thunderbolt biztosan érintett, az EVO Shift 4G, a MyTouch 4G Slide és a Sensation pedig egyelőre a gyanús fázisban van. Az európai forgalmazásban szereplő telefonokról egyelőre nincs közelebbi információ, a szakértők szerint a proof-of-concept alkalmazás segítségével gyorsan vissza lehet igazolni a hiba meglétét. A szerkesztőségben található egyetlen HTC telefonon (Desire S) nem találtuk meg a HTC adatgyűjtő alkalmazását, ettől függetlenül egyelőre nem állítható, hogy az Európában eladott telefonok mentesek lennének a problémától.

A HTC gyakorlata súlyos kérdéseket vet fel. Az androidos alkalmazások telepítésekor aranyszabály, hogy csak "tiszta forrásból", vagyis megbízható cégek programjait telepítsük, azonban ha már a gyártó is ilyen agresszív, a felhasználót teljesen megkerülő (és adatait felelőtlenül kiteregető) gyakorlatot folytat, akkor mi számít megbízhatónak az androidos ökoszisztémában?

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról