В телефонах компании HTC на базе платформы Android выявлена
недоработка реализации отладочного режима, позволяющая любому
приложению, имеющему полномочия выхода в сеть, получить доступ к
приватной информации пользователя, такой как содержимое адресной книги,
история звонков, системные логи, данные об изменении местоположения и
архив SMS, не требуя получения специальных прав на выполнение данных
операций. Уязвимости подвержены устройства EVO 4G/Shift 4G, EVO 3D,
Thunderbolt, MyTouch 4G, Vigor и Sensations.
Проблема связана с поставкой в составе редакции платформы Android
от компании HTC дополнительного приложения HtcLoggers.apk,
осуществляющего ведение подробного лога всех операций. Изначально данное
приложение нацелено
на упрощение отладки проблем, но непродуманная организация доступа к
логу привела к возникновению серьезной уязвимости: для управления
HtcLoggers используются привязанный к интерфейсу loopback сетевой порт,
доступ к которому не ограничен для локальных программ. Таким образом, к
логу, в котором фигурирует конфиденциальная информация, может получить
доступ любое приложение с правами android.permission.INTERNET (например,
данные права требуют все программы участвующие в сетях контекстной
рекламы).
Обнаружившие уязвимость исследователи, направили уведомление в
компанию HTC. Не получив ответа через пять рабочих дней после отправки
сообщения, информация об уязвимости была обнародована публично. Для
устранения уязвимости пользователям, имеющим root-права на телефоне,
рекомендуется удалить файл /system/app/HtcLoggers.apk. Другим
пользователям следует дождаться выхода официального обновления.
|
Главная 
