В Android-смартфонах HTC обнаружили опасную уязвимость

[Вальдемар]

Журналисты сайта Android Police и разработчик Тревор Экхарт обнаружили серьезную уязвимость в Android-смартфонах производства HTC. В устройствах с новыми прошивками сохраняются персональные данные владельца: его электронная почта, информация о местонахождении по GPS, короткие текстовые сообщения, телефонные номера, сведения о системных событиях и запущенных процессах.

Злоумышленник может завладеть этой информацией через приложение с доступом к android.permission.INTERNET (а такие программы для Android очень распространены). Утечке персональных данных подвержены модели EVO 3D, EVO 4G, Thunderbolt, Sensation и, возможно, некоторые другие аппараты.

Представители тайваньского производителя быстро отреагировали на сообщение. Руководство корпорации заверило, что HTC работает над устранением уязвимости и в скором времени выпустит соответствующее обновление.
http://www.onliner.by/news/03.10.2011/10.13

[Neznajka1]

Чего только не напишут.
МТС-Тудей, со ссылкой на CNews, пишет, что корейцы наоборот, не торопятся. Хотя о дыре им сообщили еще 24 сентября. Но по прошествию 5-ти дней, не видя ответа, специалисты заявили о уязвимости открыто.

Цитата:

Обнаружена уязвимость в смартфонах HTC

Обнаруженная в Android-смартфонах HTC уязвимость позволяет злоумышленникам дистанционно получить данные, которыми пользователи вряд ли бы поделились с кем-то незнакомым. Компания достаточно нерасторопно отнеслась к находке и пока не выпустила патч, сообщает Cnews.
При обновлении программного обеспечения вместе с другими файлами HTС записывает в память устройства приложение HtcLoggers.apk, предназначенное для сбора статистической информации. При этом все эти данные приложение готово передать по запросу любой другой программе, которая имеет разрешение на доступ в интернет, открывая передачу данных по локальному порту. Таким образом, любое приложение, имеющее доступ в интернет, может получить все данные, собранные HtcLoggers.apk, и, так как опять же обладает необходимыми разрешениями, передать их на любой удаленный сервер.

Используя эту схему, можно получить сведения практически любого характера: список пользовательских учетных записей, координаты близлежащих базовых станций (то есть фактически и координаты самого абонента), номера телефонов, по которым осуществлялись звонки и были отправлены SMS-сообщения за последнее время, и системную информацию.

Проблема, как выяснили специалисты, касается следующих моделей смартфонов HTC: Evo 4G, Evo 3D, Thunderbolt, Evo Shift 4G, MyTouch 4G Slide, некоторых версий Sensation, еще не вышедшего Vigor и, скорее всего, многих других моделей HTC на Android, если не всех.

Уязвимость была обнаружена 24 сентября, и о ней сразу же сообщили HTC. Не получив ответа, спустя 5 рабочих дней специалисты решились раскрыть свою находку, надеясь таким способом подтолкнуть производителя к более активному участию. По сведениям специалистов, в настоящее время HTC занимается проблемой, однако официального сообщения так и не появилось.

Эксперты рекомендуют владельцам смартфонов HTC, которые не желают дожидаться патча, взломать прошивку и вручную удалить HtcLoggers.apk.

Тыц

[Вальдемар]

HTC подтверждает брешь в безопасности и готовит обновление

Компания HTC провела собственную проверку уязвимости системы безопасности, которая была найдена группой программистов около недели тому назад, и подтвердила наличие данной проблемы.
Напомним, что причиной появления уязвимости было названо служебное приложение HtcLoggers.apk, в обязанности которого входит сбор информации о смартфоне и ее отправка для анализа в соответствующее подразделение компании. Однако из-за ошибки данная программа может предоставить доступ к сведениям сторонним приложениям, запросившим при установке доступ в интернет. После обновления уязвимость была обнаружена в HTC EVO 3D, HTC EVO 4G и HTC ThunderBolt.
После проведенной проверки представители тайваньского производителя смартфонов заверили, что пользовательские данные не рискуют пострадать от собственного программного обеспечения, однако, брешь в безопасности, теоретически, может быть использована вредоносными сторонними приложениями. Компанией уже готовится патч, который после короткого периода тестирования, будет отправлен на пользовательские устройства. При наличии доступного обновления системы безопасности, появится соответствующее уведомление. А до тех пор HTC рекомендует остерегаться установки приложений, разработчикам которых вы не доверяете.
http://www.youhtc.ru/2011/10/htc-podtverzhdaet-bresh-v-bezopasnosti-i-gotovit-obnovlenie/

[Wladimir]

Двое инженеров, специализирующихся на вопросах цифровой безопасности, планируют предать огласке подробности относительно новых обнаруженных уязвимостей в системе Google Android. Эти уязвимости способны полностью нейтрализовать все меры, направленные на повышение безопасности системы.

Основатели компании Privateer Labs Райли Хасселл (Riley Hassell) и Шейн Маколей (Shane Macaulay) планируют опубликовать информацию о своих открытиях во время выступления на конференции по вопросам безопасности «Hack in the Box», которая состоится в Куала-Лумпур (Малайзия) на будущей неделе. «Мы расскажем о прежде неизвестных уязвимостях в приложениях от производителей, установленных на миллионы мобильных телефонов в США, а также о способах обходить все системы безопасности», — заявили инженеры.

Издание CNET сообщает, что как минимум одна из проблем связана с компонентом, который используется в большинстве антивирусных продуктов под Android. Раскрывшие эту уязвимость специалисты уже сотрудничают с разработчиками и производителями в поиске решения. Вместе с тем, г-н Хасселл уверен, что существует способ обойти системы безопасности, даже не полагаясь на уязвимый компонент. Это очень важный аспект, если учесть большую рыночную фрагментацию Android, а также непостоянство выхода обновлений.


http://www.internetua.com/novaya-uyazvimost-v-Android-neitralizuet-antivirusi

[Neznajka1]

Уязвимости-уязвимости... Что обычный пользователь может потерять, если его аппарат подцепит одну из этих зараз? Его личные данные, месторасположение, круг общения уже и так известен всем. С этим бороться невозможно, и остается только смириться. Теперь под угрозой деньги на мобильном (как минимум) и на личном (если пользоваться каким-то банкинг-клиентом) счету?

[lex12005]

Сегодня по воздуху прилетело обновление, которое должно решить эту проблему.