HTC расследует уязвимость в своих смартфонах

Компания HTC расследует информацию об уязвимости в системе защиты ряда выпускаемых ею моделей мобильных телефонов, из-за которой хакеры могут получить удаленный доступ к личным данным пользователей.

Как сообщил <link type="page"><caption> блогер Android police</caption><url href="http://www.androidpolice.com/2011/10/01/massive-security-vulnerability-in-htc-android-devices-evo-3d-4g-thunderbolt-others-exposes-phone-numbers-gps-sms-emails-addresses-much-more/" platform="highweb"/></link>, при подключении аппаратов к интернету можно с легкостью получить доступ к содержащимся в их памяти файлам с конфиденциальной информацией. Например, к списку базовых станций сотовой связи, расположенных поблизости, а также к электронной почте, записной книжке и многим другим записям.

Среди уязвимых оказались модели EVO 3D, EVO 4G, Thunderbolt, а также, возможно, и серия Sensation.

HTC пообещала разобраться в этих проблемах "как можно быстрее".

"HTC очень серьезно относится к безопасности своих клиентов, мы стараемся расследовать эти утверждения настолько быстро, насколько это возможно", - говорится в заявлении компании.

"Как только нам удастся установить, соответствует ли эта информация действительности, мы сообщим о ситуации, а также о мерах, которые предпримем, если они будут необходимы".

Решаемая проблема

Системный администратор Тревор Экхарт продемонстрировал созданное им приложение, которое позволяет с легкостью завладеть конфиденциальной информацией.

По его словам, достаточно при установке приложения попросить у пользователя разрешение на доступ в интернет – такой запрос обычно используется при установке игровых приложений, которые выставляют в интернет набранные в ходе игры очки.

После получения согласия пользователя можно зайти в файл HtcLoggers.apk, в обязанности которого входит сбор информации о смартфоне и ее отправка для анализа в соответствующее подразделение компании. Однако из-за ошибки данная программа предоставляет доступ к собранным сведениям сторонним приложениям.

В файле, в частности, содержится такая ключевая информация, как • Список всех эккаунтов пользователя, включая электронную почту • Список всех задействованных, то есть находящихся поблизости станций сотовой связи • Список всех последних координат местонахождения GPS • Данные SMS сообщений, включая последние номера телефонов и зашифрованные послания

По словам блогера Android Police, потенциальный риск для владельцев ряда моделей телефонов NTC сравним с привычкой "оставлять ключи под ковриком у входной двери в надежде, что если кто-нибудь их найдет, то не сможет открыть ими дверь."

Рик Фергюсон, директор отдела исследований по безопасности и коммуникациям компании Trend Micro, говорит, что выявленную проблему можно решить без особых затруднений.

В интервью Би-би-си он сказал: "Они (программисты) не ожидали, что подобная информация может быть кому-то интересна. Это скорее недостаток предвидения, чем слабое программирование. Так что закрыть эту узявимость будет сравнительно нетрудно".