Découverte d'une "vulnérabilité massive" sur des smartphones HTC
Sous Android, un outil de journalisation propriétaire en cause
Le 2011-10-03 19:32:01, par Idelways, Expert éminent sénior
Des chercheurs ont découvert une sérieuse menace de sécurité sur plusieurs modèles de smartphones HTC sous Android. Cette porte dérobée (backdoor) ouvre aux applications installées l'accès à diverses informations privées et sensibles de l'utilisateur.
Ce n'est pas tant Android qui est en cause, mais « HTCLogger », un firmware propriétaire de journalisation utilisé par les développeurs de HTC pour traquer les bogues.
Les modèles Evo 3D, Evo 4G et Thunderbolt sont touchés depuis l'introduction d'un ensemble d'outils de journalisations sur une récente mise à jour du système.
Des outils qui collectent des informations, « beaucoup trop d'informations », sans les sécuriser d'après les dires de Justin Case et Artem Russakovskii dans un rapport publié sur Android Police.
Les téléphones de la lignée Sensation et d'autres modèles présents ou à sortie imminente pourraient être affectés, toujours selon le rapport.
Le problème serait resté dans l'ombre si les chercheurs n'avaient pas découvert que toute application disposant du privilège « android.permission.INTERNET » (banal, et accordé à toute application nécessitant l’accès aux Web ou à une régie publicitaire) pourrait lire et dérober :
Tous les comptes utilisateurs avec adresse email et le statut de synchronisation de chacun; la liste des derniers réseaux et dernières positions GPS, et l'historique récent des localisations; les numéros de téléphone à partir des logs, des informations sur les SMS et leur contenu chiffré, ainsi que les logs du système.
Case et Russakovskii ne cachent pas leur accablement de découvrir une faille si facilement exploitable. « Je reste sans voix », sur ces mots commence Russakovskii sa diatribe.
Les applications n'ont qu'à établir une connexion à un port local pour se servir des informations journalisées.
Les chercheurs, qui affirment n'avoir reçu aucune « réponse réelle » de HTC après 5 jours ouvrables, recommandent la suppression immédiate du paquet /system/app/HtcLoggers.apk.
Source : Android Police
Et vous ?
Ce n'est pas tant Android qui est en cause, mais « HTCLogger », un firmware propriétaire de journalisation utilisé par les développeurs de HTC pour traquer les bogues.
Les modèles Evo 3D, Evo 4G et Thunderbolt sont touchés depuis l'introduction d'un ensemble d'outils de journalisations sur une récente mise à jour du système.
Des outils qui collectent des informations, « beaucoup trop d'informations », sans les sécuriser d'après les dires de Justin Case et Artem Russakovskii dans un rapport publié sur Android Police.
Les téléphones de la lignée Sensation et d'autres modèles présents ou à sortie imminente pourraient être affectés, toujours selon le rapport.
Le problème serait resté dans l'ombre si les chercheurs n'avaient pas découvert que toute application disposant du privilège « android.permission.INTERNET » (banal, et accordé à toute application nécessitant l’accès aux Web ou à une régie publicitaire) pourrait lire et dérober :
Tous les comptes utilisateurs avec adresse email et le statut de synchronisation de chacun; la liste des derniers réseaux et dernières positions GPS, et l'historique récent des localisations; les numéros de téléphone à partir des logs, des informations sur les SMS et leur contenu chiffré, ainsi que les logs du système.
Case et Russakovskii ne cachent pas leur accablement de découvrir une faille si facilement exploitable. « Je reste sans voix », sur ces mots commence Russakovskii sa diatribe.
Les applications n'ont qu'à établir une connexion à un port local pour se servir des informations journalisées.
Les chercheurs, qui affirment n'avoir reçu aucune « réponse réelle » de HTC après 5 jours ouvrables, recommandent la suppression immédiate du paquet /system/app/HtcLoggers.apk.
Source : Android Police
Et vous ?
-
nirgal76Membre chevronnéA lire ce titre, on comprends "tous les smartphone htc sous android ont le problème.
"vulnérabilité massive" sur les smartphones HTC sous Android.
Au final, ce sont justes 3 modèles qui sont concernés (et pas les plus répandus pour le moment). Si ça c'est pas du titre racoleur....le 04/10/2011 à 9:39 -
wirenthMembre avertioO y'en a un qui s'appelle Justin Case... y a des parents vraiment...
sinon effectivement titre racoleur, ça concerne 3 modèles peu répandus et Android n'est pas directement en cause...le 04/10/2011 à 10:01 -
IdelwaysExpert éminent séniorBonjour
Le premier titre de la news (qui a été légèrement adapté depuis) peut effectivement faire croire que tous les modèles sont touchés.
Cette formulation venait du fait que le problème concerne une mise à jour du firmware qui peut être appliquée à tous les smartphones de HTC (non spécifique à un modèle ou une série donnée).
D'ailleurs, si l’on reprend la source de l'article, les auteurs confirment eux même la présence de la faille sur les 3 modèles qu'ils ont testés.
Des contributeurs ont confirmé la présence de la faille sur d'autres modèles, et cela ne veut pas dire que les autres ne soient pas touchés.EVO Shift 4G? (thanks, pm)
MyTouch 4G Slide? (thanks, Michael)
the upcoming Vigor? (thanks, bjn714)
some Sensations? (thanks, Nick)
View 4G? (thanks, Pat)
the upcoming Kingdom? (thanks, Pat)
En outre, le titre ne met clairement pas Android en cause. C'est un détail important qui doit figurer dans le titre, pour que les utilisateurs de smartphones sous d'autres OS ne se sentent pas concernés.
Cordialement
Idelways.le 04/10/2011 à 10:56 -
CAMLMembre avertile 04/10/2011 à 10:27