Falla di sicurezza in alcuni terminali Android di HTC

Falla di sicurezza in alcuni terminali Android di HTC

Secondo quanto diffuso in queste ore da androidpolice.com, HTC sarebbe alle prese con una falla di sicurezza che causerebbe una fuga di dati sensibili attraverso qualsiasi applicazione che richieda l'accesso a internet

di pubblicata il , alle 11:27 nel canale Telefonia
HTCAndroid
 

"Senza parole", così si definisce Artem Russakovskii nell'articolo comparso in queste ore sul sito androidpolice.com e che segnala la presenza di un'ampia falla di sicurezza in alcuni terminali prodotti dalla compagnia taiwanese HTC e equipaggiati con il sistema operativo mobile di Google, Android.

Il problema descritto nell'articolo renderebbe possibile l'accesso a terze parti ai numeri di telefono, alle informazioni raccolte dal GPS, agli SMS e alle email dei possessori di queste soluzioni. La lista dei terminali "affetti" include alcuni dei modelli più recentemente lanciati sul mercato dal colosso asiatico e comprende tra gli altri EVO 3D e HTC Thunderbolt.

Quanto finora scoperto dai ricercatori di Android Police sembra essere solo una piccola parte del problema e gli stessi sarebbero ancora al lavoro per approfondire le ricerche ed, eventualmente, scoprire l'origine della falla. Di fatto, quello di cui siamo attualmente certi è che qualsiasi applicazione che richieda una singola android.permission.INTERNET (richiesta assolutamente normale per buona parte delle app) può avere accesso indisturbato a una serie di dati tra cui:

- La lista degli account dell'utente, compresi gli indirizzi email, le ultime informazioni riguardo l'ultimo aggiornamento della posizione e uno storico delle geolocalizzazioni precedenti

- I dati inclusi negli SMS, tra cui i numeri di telefonoe e il testo in codice che, molto probabilmente, può essere comunque decifrato

- I system logs, che includono una serie di informazioni riguardo le applicazioni utilizzate sul terminale compresi indirizzi email, numeri di telefono e altre informazioni private

In questo modo, anche applicazioni che al momento dell'installazione richiedono come unico permesso quello di accedere alla rete internet hanno accesso a una serie di dati sensibili contenuti in aree del dispositivo che, teoricamente non dovrebbero essere accessibili.

Al momento l'unica soluzione possibile per il problema sembra essere un aggiornamento del software dei terminali interessati che deve tuttavia giungere dalla stessa HTC. Contatta e informata sui fatti, la compagnia taiwanese sembra aver fatto orecchie da mercante ma potrebbe già essere al lavoro per rimediare alla fuga di dati.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
OldDog03 Ottobre 2011, 12:45 #1
Strano che il problema si presenti solo su alcuni dispositivi di HTC.
Non ho competenze professionali di sistema Android, ma davo per scontato che il layer dei diritti sui processi in esecuzione fosse legato ad Android, non alla sua implementazione sullo specifico terminale (che tocca interfaccia utente e "driver" di interfaccia all'hw specifico, AFAIK).
mindless03 Ottobre 2011, 14:38 #2
Originariamente inviato da: OldDog
Strano che il problema si presenti solo su alcuni dispositivi di HTC.
Non ho competenze professionali di sistema Android, ma davo per scontato che il layer dei diritti sui processi in esecuzione fosse legato ad Android, non alla sua implementazione sullo specifico terminale (che tocca interfaccia utente e "driver" di interfaccia all'hw specifico, AFAIK).



Ti quoto, e questo fa ancora piu' paura!!!
tazok03 Ottobre 2011, 14:54 #3
Originariamente inviato da: OldDog
Strano che il problema si presenti solo su alcuni dispositivi di HTC.
Non ho competenze professionali di sistema Android, ma davo per scontato che il layer dei diritti sui processi in esecuzione fosse legato ad Android, non alla sua implementazione sullo specifico terminale (che tocca interfaccia utente e "driver" di interfaccia all'hw specifico, AFAIK).


ognuno customizza come ritiene più opportuno, essendo un sistema "open source" non c'è problema a farlo
mindless03 Ottobre 2011, 15:08 #4
Originariamente inviato da: tazok
ognuno customizza come ritiene più opportuno, essendo un sistema "open source" non c'è problema a farlo


...certe sicurezze di base un sistema dovrebbe averle. Se gia' una ditta del calibro di HTC crea questi problemi, figuriamoci i terminali dei produttori minori o piu' economici!

Ho avuto tanti terminali Android, ma mi sa che ho fatto bene a prendere altre strade!
tazok03 Ottobre 2011, 15:37 #5
Originariamente inviato da: mindless
...certe sicurezze di base un sistema dovrebbe averle. Se gia' una ditta del calibro di HTC crea questi problemi, figuriamoci i terminali dei produttori minori o piu' economici!

Ho avuto tanti terminali Android, ma mi sa che ho fatto bene a prendere altre strade!


vabe che vuol dire..il fatto che sia open e che venga subito corretta è un sintomo positivo. Tutti i software hanno bug, l'importante è risolverli
OldDog03 Ottobre 2011, 17:06 #6
Originariamente inviato da: tazok
ognuno customizza come ritiene più opportuno, essendo un sistema "open source" non c'è problema a farlo

Non si parla di possibilità, ma di opportunità.
Metti mano ad una funzione se ne vuoi ottenere una differenza commercialmente utile, per esempio come fatto con la GUI HTC Sense, dove hanno proposto un modello di interfaccia che funziona in maniera trasversale con s.o. diversi.
Non vedo il senso di mettere mano alla gestione diritti (con il rischio concretizzato di scassarla) o ad altri "pilastri" di un s.o. accollandosi un costo senza beneficio commerciale (non è un valore "vendibile" ai clienti come differenziante rispetto ai competitor che usano Android).
kreijack03 Ottobre 2011, 19:10 #7
L'articolo originale dice che l'HTC ha installato un programma che logga tutta una serie di dati sensibili. Ed è possibile "interrogare" questo programma con il solo "privilegio" android.permission.INTERNET.
Quindi non si tratta di una falla nel sistema di sicurezza di Android nè tantomeno una falla della successiva customizzazione operata da HTC. Invece è un programma stand alone installato da HTC (si chiama HtcLoggers) eseguito con i privilegi massimi che oltre a loggare i dati sensibili ne consente l'accesso.
" ... This app [HtcLoggers] is capable of collecting all kinds of data, as I mentioned above, and then... provide it to anyone who asks for it by opening a local port...."

Probabilmente questo programma installato su altri terminali farebbe gli stessi danni. L'essere open source (ammesso cha Android sia tale) non centra nulla.
OldDog04 Ottobre 2011, 00:46 #8
Originariamente inviato da: kreijack
L'articolo originale dice che l'HTC ha installato un programma che logga tutta una serie di dati sensibili. Ed è possibile "interrogare" questo programma con il solo "privilegio" android.permission.INTERNET.
Quindi non si tratta di una falla nel sistema di sicurezza di Android nè tantomeno una falla della successiva customizzazione operata da HTC. Invece è un programma stand alone installato da HTC (si chiama HtcLoggers) eseguito con i privilegi massimi che oltre a loggare i dati sensibili ne consente l'accesso.

Grazie per il chiarimento.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^