Известный на Android-сцене программист Тревор Экхарт (Trevor Eckhart) обнаружил огромную дыру в системе безопасности Android-смартфонов HTC, появление которой спровоцировал фирменный сервис «HtcLoggers.apk», отвечающий за сбор статистических данных. Коллеги Экхарта, Джастин Кейс (Justin Case) и Артем Руссаковский (Artem Russakovskii), проанализировали находку и вынесли однозначный вердикт: HTC допустила программную ошибку при создании своей утилиты, в результате которой собранные ей сведения может получить, теоретически, любой желающий.
Программа не является трояном и для выуживания из нее сведений злоумышленнику потребуется использовать сторонний софт, но для специалиста это проблемы не составит. В частности «HtcLoggers.apk» готов отдать сведения любой программе, имеющей права на доступ в Интернет. Получив информацию от утилиты HTC, она способна передать ее на удаленный сервер. Таким образом, злоумышленник может завладеть сведениями о географических координатах смартфона (триангуляция по сотовым вышкам, точкам доступа Wi-Fi или же данные GPS-приемника), номера телефонов, на которые совершались звонки, недавно отправленные SMS-сообщения, адреса электронной почты, с которыми взаимодействовал хозяин смартфона, системную информацию и т. д.
На данный момент известно, что уязвимости подвержены следующие модели смартфонов HTC: EVO 3D, EVO 4G, Thunderbolt, Sensation (включая операторские версии) и даже еще не вышедший Vigor. Эти устройства были проверены программистами, хотя вполне может оказаться так, что уязвимость присутствует на всех Android-гаджетах компании с более-менее новой версией Sense.
Проблема серьезная, но HTC не спешит на нее реагировать. Конечно, мгновенно такие дыры не закрываются, но Экхарт написал о ней в компанию еще 24 сентября. В течение 5 дней он не получил никакого ответа, после чего обнародовал свою находку на сайте Android Police. Видео с описанием и демонстрацией уязвимости показано ниже:
Сейчас в HTC ведется работа над решением проблемы (обнародование уязвимости подстегнуло компанию к действию), но официальных комментариев все еще не прозвучало.