Nieuw beveiligingsprobleem beïnvloedt moderne HTC-toestellen
Android Police heeft onlangs een groot beveiligingslek ontdekt in een aantal van de 'forced-upon-you' bolt-on-software van HTC. Hoewel de software persoonlijke gegevens zelf niet als zodanig onthult, hebben andere toepassingen de mogelijkheid om informatie aan te vragen uit deze toolkit. Dit geeft ze toegang tot enkele van uw persoonlijke gegevens, waaronder GPS-locaties en SMS-gegevens. Lees verder voor meer informatie.
Wat is dit beveiligingslek?
HTC heeft een kleine reeks hulpprogramma's verpakt om gebruikersinformatie te verzamelen in hun nieuwe Android-releases. Het blijkt echter enigszins aan veiligheid te ontbreken of dergelijke voorzorgsmaatregelen zijn slecht geïmplementeerd. Als gevolg hiervan kan dit systeem worden aangevuld met andere toepassingen om uw locatiegegevens (zowel mobiel als GPS), uw sms-gegevens (inclusief telefoonnummers), telefoonloggegevens en Android-systeemlogboeken te kunnen achterhalen.
Justin Case, Trevor Eckhart en Artem Russakovski van Android Police zeiden:
"Elke app op getroffen apparaten die [internettoegang] aanvraagt, wat normaal is voor elke app die verbinding maakt met internet of advertenties weergeeft, kan de gegevens in handen krijgen"
Android Police waarschuwde HTC op 24 september met informatie over hun bevindingen. Nadat ze geen antwoord hadden ontvangen, besloten ze publiekelijk te gaan met hun ontdekking.
Welke telefoons worden getroffen?
Android Police beweert dat de volgende modellen kunnen worden beïnvloed:
- Sommige HTC Sensation-modellen
- HTC EVO 4G
- HTC EVO 3D
- HTC Thunderbolt
- HTC EVO Shift 4G
- (Mogelijk) HTC MyTouch 4G Slide
- (Mogelijk) HTC Vigor
- (Mogelijk) HTC View 4G
- (Mogelijk) HTC Kingdom.
De zilveren voering naar dit nieuws is dat alleen HTC-handsets worden getroffen, in plaats van Android in het algemeen. Dus als je geen HTC-telefoon hebt, hoef je je geen zorgen te maken.
Wanneer zal er een oplossing zijn??
HTC heeft op dit moment geen specifieke datum of tijdschema opgegeven voor klanten om een softwarepatch te verwachten, hoewel ze deze verklaring wel hebben vrijgegeven:
"HTC werkt zeer ijverig om snel een beveiligingsupdate uit te brengen die het probleem op getroffen apparaten verhelpt ... Na een korte testperiode door onze transportpartners, wordt de patch draadloos naar klanten gestuurd, die op de hoogte worden gebracht om te downloaden en installeer het. We dringen er bij alle gebruikers op aan om de update onmiddellijk te installeren. In deze periode raden we klanten aan om voorzichtig te zijn bij het downloaden, gebruiken, installeren en bijwerken van toepassingen van niet-vertrouwde bronnen. "
Russakovski wees erop dat deze Android-builds ook een miniatuur VNC-server in zich hebben. Voor degenen die niet weten, is VNC een netwerkprotocol dat afstandsbediening en toegang van het ene apparaat naar het andere toestaat, meestal inclusief de mogelijkheid om een exacte kloon te zien van wat er op uw scherm staat. Wat doet dat op je telefoon?
Dit soort problemen klopt trouw aan het idee dat hoe complexer je iets maakt, of het nu om een Android-build, een computer of een verjaardagstaart gaat - hoe waarschijnlijker het is dat er iets fout gaat. Voor HTC heeft het proberen te verhogen van het niveau van klant-tot-corporatie delen van gegevens (of nemen, afhankelijk van hoe je het ziet), een probleem met zich meegebracht dat HTC nu de plicht heeft om het recht in te stellen.
Gewenste uikomst
Het ideale resultaat zou zijn dat maar heel weinig mensen toegang hebben tot hun gegevens via deze exploit en dat HTC snel een oplossing kan pushen. Totdat een oplossing is vrijgegeven, probeert u echter te voorkomen dat u niet-herkende of niet-vertrouwde toepassingen een tijdje downloadt, vooral als een van de gevraagde rechten internettoegang is. Het ziet er misschien onschuldig uit, maar het kan ook een verkapte kwaadaardige toepassing zijn die is ontworpen om uw informatie te stelen. Het is waarschijnlijk het beste om die kansen niet te nemen.
bronnen
Het originele artikel van Android Police
The Guardian's technologieartikel - via @guardiantech