Inicio / Alerta Temprana / Avisos Seguridad / Acceso a información privada en SmartPhones HTC

Acceso a información privada en SmartPhones HTC

Fecha de publicación: 
03/10/2011
Importancia: 
4 - Alta
Recursos afectados: 

De momento se ha detectado el problema en los siguientes modelos:

  • EVO 4G
  • EVO 3D
  • Thunderbolt
  • EVO Shift 4G
  • MyTouch 4G Slide

No se descarta que existan más modelos afectados.

Descripción: 

El fallo puede llegar a permitir el acceso a información confidencial por parte de aplicaciones de terceros a las que el usuario permita el acceso a Internet.

Solución: 

Hasta que HTC no publique una solución al problema, como medida de prevención se debería de evitar la instalación de nuevas aplicaciones en el dispositivo en la medida de lo posible, y en caso de necesitar instalarlas, se debe acudir a la página del desarrollador o bien a repositorios que nos ofrezcan la máxima seguridad. Respecto de las aplicaciones que estén instaladas en nuestro terminal, habría que eliminar aquellas que no sean totalmente necesarias y que hayamos instalado recientemente.

Detalle: 

En una actualización reciente para algunos de sus dispositivos, HTC incluyó una serie de herramientas que recopilan información del dispositivo. Entre esos datos destacan:

  • Listado de cuentas de usuario, correos electrónicos y el estado de la sincronización de cada una de las cuentas
  • Información recogidas sobre redes conocidas así como posicionamiento GPS
  • Número de teléfonos del registro del dispositivo
  • Datos del Registro del sistema (kernel/dmes y app/logcat)
  • Datos SMS incluyendo números de teléfono y texto codificado

El problema radica en que esa recogida de información no está tratada de forma segura, codificada o protegida por algún tipo de permiso adecuado, sino que por el contrario cualquier aplicación que tenga permisos de acceso a Internet (android.permission.INTERNET, común a aplicaciones que se conectan a Internet) podría acceder a esa información sin ningún control por parte del sistema.

Impacto

La explotación de esta vulnerabilidad podría permitir el acceso a información protegida mediante una aplicación con un permiso que en principio no debiera de suponer un riesgo.

Hay que señalar que sería necesario que el usuario instalara una aplicación que explotara esta vulnerabilidad.