Des chercheurs ont découvert une sérieuse menace de sécurité sur plusieurs modèles de smartphones HTC sous Android. Cette porte dérobée (backdoor) ouvre aux applications installées l'accès à diverses informations privées et sensibles de l'utilisateur.
Ce n'est pas tant Android qui est en cause, mais « HTCLogger », un firmware propriétaire de journalisation utilisé par les développeurs de HTC pour traquer les bogues.
Les modèles Evo 3D, Evo 4G et Thunderbolt sont touchés depuis l'introduction d'un ensemble d'outils de journalisations sur une récente mise à jour du système.
Des outils qui collectent des informations, « beaucoup trop d'informations », sans les sécuriser d'après les dires de Justin Case et Artem Russakovskii dans un rapport publié sur Android Police.
Les téléphones de la lignée Sensation et d'autres modèles présents ou à sortie imminente pourraient être affectés, toujours selon le rapport.
Le problème serait resté dans l'ombre si les chercheurs n'avaient pas découvert que toute application disposant du privilège « android.permission.INTERNET » (banal, et accordé à toute application nécessitant l’accès aux Web ou à une régie publicitaire) pourrait lire et dérober :
Tous les comptes utilisateurs avec adresse email et le statut de synchronisation de chacun; la liste des derniers réseaux et dernières positions GPS, et l'historique récent des localisations; les numéros de téléphone à partir des logs, des informations sur les SMS et leur contenu chiffré, ainsi que les logs du système.
Case et Russakovskii ne cachent pas leur accablement de découvrir une faille si facilement exploitable. « Je reste sans voix », sur ces mots commence Russakovskii sa diatribe.
Les applications n'ont qu'à établir une connexion à un port local pour se servir des informations journalisées.
Les chercheurs, qui affirment n'avoir reçu aucune « réponse réelle » de HTC après 5 jours ouvrables, recommandent la suppression immédiate du paquet /system/app/HtcLoggers.apk.
Source : Android Police
Et vous ?
Qu'en pensez-vous ?
Découverte d'une "vulnérabilité massive" sur des smartphones HTC
Sous Android, un outil de journalisation propriétaire en cause
Découverte d'une "vulnérabilité massive" sur des smartphones HTC
Sous Android, un outil de journalisation propriétaire en cause
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !