Falla di sicurezza in alcuni terminali Android di HTC
Secondo quanto diffuso in queste ore da androidpolice.com, HTC sarebbe alle prese con una falla di sicurezza che causerebbe una fuga di dati sensibili attraverso qualsiasi applicazione che richieda l'accesso a internet
di Davide Fasola pubblicata il 03 Ottobre 2011, alle 11:27 nel canale TelefoniaHTCAndroid
"Senza parole", così si definisce Artem Russakovskii nell'articolo comparso in queste ore sul sito androidpolice.com e che segnala la presenza di un'ampia falla di sicurezza in alcuni terminali prodotti dalla compagnia taiwanese HTC e equipaggiati con il sistema operativo mobile di Google, Android.
Il problema descritto nell'articolo renderebbe possibile l'accesso a terze parti ai numeri di telefono, alle informazioni raccolte dal GPS, agli SMS e alle email dei possessori di queste soluzioni. La lista dei terminali "affetti" include alcuni dei modelli più recentemente lanciati sul mercato dal colosso asiatico e comprende tra gli altri EVO 3D e HTC Thunderbolt.
Quanto finora scoperto dai ricercatori di Android Police sembra essere solo una piccola parte del problema e gli stessi sarebbero ancora al lavoro per approfondire le ricerche ed, eventualmente, scoprire l'origine della falla. Di fatto, quello di cui siamo attualmente certi è che qualsiasi applicazione che richieda una singola android.permission.INTERNET (richiesta assolutamente normale per buona parte delle app) può avere accesso indisturbato a una serie di dati tra cui:
- La lista degli account dell'utente, compresi gli indirizzi email, le ultime informazioni riguardo l'ultimo aggiornamento della posizione e uno storico delle geolocalizzazioni precedenti
- I dati inclusi negli SMS, tra cui i numeri di telefonoe e il testo in codice che, molto probabilmente, può essere comunque decifrato
- I system logs, che includono una serie di informazioni riguardo le applicazioni utilizzate sul terminale compresi indirizzi email, numeri di telefono e altre informazioni private
In questo modo, anche applicazioni che al momento dell'installazione richiedono come unico permesso quello di accedere alla rete internet hanno accesso a una serie di dati sensibili contenuti in aree del dispositivo che, teoricamente non dovrebbero essere accessibili.
Al momento l'unica soluzione possibile per il problema sembra essere un aggiornamento del software dei terminali interessati che deve tuttavia giungere dalla stessa HTC. Contatta e informata sui fatti, la compagnia taiwanese sembra aver fatto orecchie da mercante ma potrebbe già essere al lavoro per rimediare alla fuga di dati.
La rivoluzione dei dati in tempo reale è in arrivo. Un assaggio a Confluent Current 2025
SAP Sapphire 2025: con Joule l'intelligenza artificiale guida app, dati e decisioni
Dalle radio a transistor ai Micro LED: il viaggio di Hisense da Qingdao al mondo intero
Una domenica bestiale Amazon: LG OLED, super portatile Lenovo, iPhone 16 Pro e Pro Max, robot e altri super sconti
DJI Mini 4 Pro Fly More Combo: drone leggero che non richiede il patentino oggi in offerta super su Amazon
realme GT 7T: display da 6000 nit, potentissimo, 7000 mAh, quasi un top di gamma a metà del prezzo che ti aspetti
Ancora qualche pezzo per il portatile Lenovo con Core i7, 40GB RAM e 1TB SSD: va sempre a ruba
TV OLED LG Serie C4 2024: immagini da cinema e 4K a 144Hz in sconto su Amazon
Smartwatch Amazfit in sconto: Active 2 a 97€, ma ci sono offerte su tutta la gamma
Router e ripetitori AVM FRITZ! da 30€ su Amazon: ecco tutte le offerte da non perdere
Adulting 101: i corsi per imparare come era la vita fino a qualche anno fa
Blue Origin ha lanciato con successo la missione suborbitale NS-32 con New Shepard
L'amministrazione Trump ha ritirato la candidatura di Jared Isaacman come amministratore della NASA
La NASA potrebbe chiudere le missioni OSIRIS-APEX, New Horizons e Juno cancellandone altre per risparmiare soldi
Trump vieta anche la vendita di software per la progettazione di chip alle società cinesi
Le migliori offerte del weekend Amazon: portatili, robot, iPhone, Kindle ai prezzi più bassi di sempre
Dreame L40 Ultra a 699€, prezzo shock: vale quasi quanto l’X40 Ultra da 999€ (ma costa 300€ in meno!)
8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoNon ho competenze professionali di sistema Android, ma davo per scontato che il layer dei diritti sui processi in esecuzione fosse legato ad Android, non alla sua implementazione sullo specifico terminale (che tocca interfaccia utente e "driver" di interfaccia all'hw specifico, AFAIK).
Non ho competenze professionali di sistema Android, ma davo per scontato che il layer dei diritti sui processi in esecuzione fosse legato ad Android, non alla sua implementazione sullo specifico terminale (che tocca interfaccia utente e "driver" di interfaccia all'hw specifico, AFAIK).
Ti quoto, e questo fa ancora piu' paura!!!
Non ho competenze professionali di sistema Android, ma davo per scontato che il layer dei diritti sui processi in esecuzione fosse legato ad Android, non alla sua implementazione sullo specifico terminale (che tocca interfaccia utente e "driver" di interfaccia all'hw specifico, AFAIK).
ognuno customizza come ritiene più opportuno, essendo un sistema "open source" non c'è problema a farlo
...certe sicurezze di base un sistema dovrebbe averle. Se gia' una ditta del calibro di HTC crea questi problemi, figuriamoci i terminali dei produttori minori o piu' economici!
Ho avuto tanti terminali Android, ma mi sa che ho fatto bene a prendere altre strade!
Ho avuto tanti terminali Android, ma mi sa che ho fatto bene a prendere altre strade!
vabe che vuol dire..il fatto che sia open e che venga subito corretta è un sintomo positivo. Tutti i software hanno bug, l'importante è risolverli
Non si parla di possibilità, ma di opportunità.
Metti mano ad una funzione se ne vuoi ottenere una differenza commercialmente utile, per esempio come fatto con la GUI HTC Sense, dove hanno proposto un modello di interfaccia che funziona in maniera trasversale con s.o. diversi.
Non vedo il senso di mettere mano alla gestione diritti (con il rischio concretizzato di scassarla) o ad altri "pilastri" di un s.o. accollandosi un costo senza beneficio commerciale (non è un valore "vendibile" ai clienti come differenziante rispetto ai competitor che usano Android).
Quindi non si tratta di una falla nel sistema di sicurezza di Android nè tantomeno una falla della successiva customizzazione operata da HTC. Invece è un programma stand alone installato da HTC (si chiama HtcLoggers) eseguito con i privilegi massimi che oltre a loggare i dati sensibili ne consente l'accesso.
" ... This app [HtcLoggers] is capable of collecting all kinds of data, as I mentioned above, and then... provide it to anyone who asks for it by opening a local port...."
Probabilmente questo programma installato su altri terminali farebbe gli stessi danni. L'essere open source (ammesso cha Android sia tale) non centra nulla.
Quindi non si tratta di una falla nel sistema di sicurezza di Android nè tantomeno una falla della successiva customizzazione operata da HTC. Invece è un programma stand alone installato da HTC (si chiama HtcLoggers) eseguito con i privilegi massimi che oltre a loggare i dati sensibili ne consente l'accesso.
Grazie per il chiarimento.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".