UGROŽENI KORISNICI

Opasan sigurnosni propust u HTC-ovim Androidima: Aplikacije dobile pristup povjerljivim informacijama

Bilo koja aplikacija spojena na internet ima pristup ključnim informacijama na telefonu - e-pošto, GPS lokacijama, brojevima telefona i SMS porukama

Stručnjaci za sigurnost tvrde kako su pronašli propust u nekoliko smartphone uređaja koje proizvodi HTC. Propust omogućuje bilo kojoj aplikaciji povezanoj s internetom pristup ključnim informacijama na telefonu, između ostalog i adresama e-pošte, GPS lokacijama, brojevima telefona i tekstualnim porukama, navodi PCWorld .

Mobiteli koji su se našli na popisu su: EVO 3D, EVO 4G, Thunderbolt te vjerojatno HTC-ova linija uređaja Sensation.

Istražitelji Trevor Eckhart, Artem Russakouskii i Justin Case navode kako su o svojem otkriću obavijestili HTC još 24. rujna, no kada HTC nije odgovorio na upozorenje odlučili su informacije dati u javnost.

Sigurnosni propust u HTC telefonima potječe od nadogradnji koje je kompanija napravila u verzijama Android operativnog sustava u EVO i Thunderbolt modelima. Promjene su dodale alate za logiranje koji prikupljaju informacije s mobilnih uređaja.

- Ukoliko vi, kao ozbiljna kompanija, postavite prikupljače informacija u uređaj, bolje je da budete potpuno sigurni da su prikupljene informacije zaštićene i dostupne samo priviligiranim službama i samom korisniku - napisao je Russakouskii u subotu na internetskim stranicama Android Poliea.

Međutim, ovo je sasvim drugačije. Nadogradnja Androida od strane HTC-a omogućuje bilo kojoj aplikaciji, koji korisnik dopusti pristup internetu, pristup i svim osjetljivim informacijama na uređaju. Još gore, aplikacija ima dopuštenje te informacije slati kada god 'poželi' i to bez znanja korisnika.

- Obično, aplikacija ima pristup samo onome što je zatražila stoga kada, recimo, instalirate jednostavnu igru s Android Marketa, koja vas traži samo pristup internetu, ne očekujete od nje da vam pročita listu e-mailova ili popis brojeva telefona - Russakouskii objašnjava.

Usporedio je HTC-ov propust s ostavljanjem ključa od kuće ispod otirača pred ulaznim vratima i očekivanja da ga nitko neće naći .

Podaci koji su dostupni aplikacijama su: adresar e-pošte, posljednja zabilježena mreža i GPS lokacija, telefonski imenik i popis poziva, SMS-poruke s brojem i porukom, zapisnik sustava koji bilježi sve što aplikacije rade, informacije o sustavu (CPU podaci, memorija, uključeni procesi, popis instaliranih aplikacija zajedno s njihovim ovlastima i identifikacijskim brojem korisnika).

Osim navedenog problema Russakouskii upozorava na još jedan problem. HTC je modificirao Android dodajući androidvncserver.apk. Iako se dodavanje te aplikacije, koja trećoj strani daje pristup vašem uređaju, možda čini nedužnim Russakouskii sumnja u njezinu sigurnost.

- Aplikacija se ne pokreće sama, no tko zna tko je sve more pokrenuti i dobiti pristup vašem uređaju - upitao se.

Za sada nema dostupne nadogradnje koja će 'zaliječiti' problem. Moguće rješenje je 'jailbreak' telefona, no korisnici tada gube jamstvo.

Ovaj prosljednji sigurnosni problem otkriva probleme s kojima se korisnik može susresti u u 'open source' okolišu. Dok je značajna prednost činjenica da programeri aplikacija i proizvođači uređaja mogu raditi kreativne izmjene osnovnog sustava, isto tako može se i zlorabiti na štetu krajnjeg korisnika.

Želite li dopuniti temu ili prijaviti pogrešku u tekstu?
Linker
18. studeni 2024 04:25