Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/10/2011
Una fallada de seguretat en els 'smartphones' HTC compromet informació dels seus usuaris
Una nova fallada de seguretat compromet informació personal d'usuaris de telèfons intel·ligents HTC. La fallada només afecta els telèfons amb Android.
El responsable en aquest cas és la taiwanesa HTC, que va introduir una actualització en alguns dels seus nous dispositius per a arreplegar informació com a números de telèfon, els comptes de l'usuari, les últimes localitzacions de GPS o dades del sistema. Ara, aquesta informació s'ha vist compromesa per una vulnerabilitat del sistema.
Aquesta nova vulnerabilitat només afecta els dispositius Android de HTC, a diferència d'altres com la bretxa de seguretat en l'aplicació d'Skype apareguda a l'abril d'enguany. No obstant això, la informació afectada i la facilitada per a accedir a aquesta fan que siga molt més preocupant.
Els models afectats són EVO 4G, EVO 3D i Thunderbolt, encara que també podrien haver-se vist compromesos les dades de l'EVO Shift 4G, MyTouch 4G Slide i Sensation, entre altres.
A més, accedir a aquesta informació és relativament senzill. L'únic permís que necessiten les aplicacions és el d'accés a Internet, el qual és comú que sol·liciten les 'apps'.
Entre la informació compromesa es troba la llista de comptes d'usuari, les últimes xarxes i localitzacions GPS registrades pel telèfon, números de telèfon del registre del dispositiu, dades encriptades dels SMS (encara que de moment no se sap si és possible desencriptar-los) i registres del sistema, segons publica Android Police, que va ser la primera pàgina a informar sobre la vulnerabilitat, descoberta per Trevor Eckhart.
Les aplicacions d'Android han de sol·licitar permisos per a accedir a informació o privilegis determinats. El problema està que l'accés a Internet és un dels més comuns i, en aparença, és inofensiu. No obstant això, en les proves realitzades per Android Police, l'arxiu vulnerable va emmagatzemar 3,8 MB d'informació.
L'arxiu culpable d'aquesta bretxa de seguretat és HtcLoggers.apk, creada per la companyia per a emmagatzemar aquesta informació. No obstant això, qualsevol altra 'app' podria accedir a aquesta i després enviar-la a un servidor, ja que només necessita accés a Internet.
De moment no és possible solucionar aquest problema sense alliberar el dispositiu, encara que, segons publica Engadget, HTC ja està treballant per a buscar una solució a la vulnerabilitat.