GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

Découverte d'une "vulnérabilité massive" sur des smartphones HTC
Sous Android, un outil de journalisation propriétaire en cause

Le , par Idelways, Expert éminent sénior
Des chercheurs ont découvert une sérieuse menace de sécurité sur plusieurs modèles de smartphones HTC sous Android. Cette porte dérobée (backdoor) ouvre aux applications installées l'accès à diverses informations privées et sensibles de l'utilisateur.

Ce n'est pas tant Android qui est en cause, mais « HTCLogger », un firmware propriétaire de journalisation utilisé par les développeurs de HTC pour traquer les bogues.

Les modèles Evo 3D, Evo 4G et Thunderbolt sont touchés depuis l'introduction d'un ensemble d'outils de journalisations sur une récente mise à jour du système.

Des outils qui collectent des informations, « beaucoup trop d'informations », sans les sécuriser d'après les dires de Justin Case et Artem Russakovskii dans un rapport publié sur Android Police.

Les téléphones de la lignée Sensation et d'autres modèles présents ou à sortie imminente pourraient être affectés, toujours selon le rapport.

Le problème serait resté dans l'ombre si les chercheurs n'avaient pas découvert que toute application disposant du privilège « android.permission.INTERNET » (banal, et accordé à toute application nécessitant l’accès aux Web ou à une régie publicitaire) pourrait lire et dérober :
Tous les comptes utilisateurs avec adresse email et le statut de synchronisation de chacun; la liste des derniers réseaux et dernières positions GPS, et l'historique récent des localisations; les numéros de téléphone à partir des logs, des informations sur les SMS et leur contenu chiffré, ainsi que les logs du système.



Case et Russakovskii ne cachent pas leur accablement de découvrir une faille si facilement exploitable. « Je reste sans voix », sur ces mots commence Russakovskii sa diatribe.
Les applications n'ont qu'à établir une connexion à un port local pour se servir des informations journalisées.

Les chercheurs, qui affirment n'avoir reçu aucune « réponse réelle » de HTC après 5 jours ouvrables, recommandent la suppression immédiate du paquet /system/app/HtcLoggers.apk.

Source : Android Police

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 04/10/2011 à 9:39
"vulnérabilité massive" sur les smartphones HTC sous Android.

A lire ce titre, on comprends "tous les smartphone htc sous android ont le problème.
Au final, ce sont justes 3 modèles qui sont concernés (et pas les plus répandus pour le moment). Si ça c'est pas du titre racoleur....
Avatar de wirenth wirenth - Membre averti https://www.developpez.com
le 04/10/2011 à 10:01
oO y'en a un qui s'appelle Justin Case... y a des parents vraiment...

sinon effectivement titre racoleur, ça concerne 3 modèles peu répandus et Android n'est pas directement en cause...
Avatar de CAML CAML - Membre averti https://www.developpez.com
le 04/10/2011 à 10:27
Citation Envoyé par nirgal76  Voir le message
A lire ce titre, on comprends "tous les smartphone htc sous android ont le problème.
Au final, ce sont justes 3 modèles qui sont concernés (et pas les plus répandus pour le moment). Si ça c'est pas du titre racoleur....

Il faut bien faire troller les gens pour générer du clique !
Avatar de Idelways Idelways - Expert éminent sénior https://www.developpez.com
le 04/10/2011 à 10:56
Bonjour

Le premier titre de la news (qui a été légèrement adapté depuis) peut effectivement faire croire que tous les modèles sont touchés.
Cette formulation venait du fait que le problème concerne une mise à jour du firmware qui peut être appliquée à tous les smartphones de HTC (non spécifique à un modèle ou une série donnée).

D'ailleurs, si l’on reprend la source de l'article, les auteurs confirment eux même la présence de la faille sur les 3 modèles qu'ils ont testés.
Des contributeurs ont confirmé la présence de la faille sur d'autres modèles, et cela ne veut pas dire que les autres ne soient pas touchés.

EVO Shift 4G? (thanks, pm)
MyTouch 4G Slide? (thanks, Michael)
the upcoming Vigor? (thanks, bjn714)
some Sensations? (thanks, Nick)
View 4G? (thanks, Pat)
the upcoming Kingdom? (thanks, Pat)


En outre, le titre ne met clairement pas Android en cause. C'est un détail important qui doit figurer dans le titre, pour que les utilisateurs de smartphones sous d'autres OS ne se sentent pas concernés.

Cordialement
Idelways.
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil