HTC investigando falla de seguridad descubierta por blog

El Android Police blog dice que si un archivo que contiene la ubicación GPS de un usuario y direcciones de correo electrónico puede ser de fácil acceso una vez que los permisos de internet se conceden.

Varios modelos son afectados, incluyendo EVO 3D, EVO 4G, Thunderbolt y potencialmente Sensation range.

“HTC se toma la seguridad de nuestros clientes muy en serio, y estamos trabajando para investigar este reclamo tan pronto como sea posible”, dijo la compañía en un comunicado.

“Nosotros le proporcionaremos una actualización tan pronto como seamos capaces de determinar la exactitud de la demanda y las medidas que, en su caso, hay que tomar”.

El administrador de sistemas Trevor Eckhart hizo una aplicación prueba para mostrar la vulnerabilidad.

Simplemente pidiendo el permiso del usuario para acceder a Internet – una petición popular como las aplicaciones de juegos que buscan publicar resultados en línea – la aplicación pudo acceder a un archivo llamado “HtcLoggers.apk”.

El archivo contenía varias piezas clave de información personal, incluyendo:

1. La lista de cuentas de usuario, incluyendo direcciones de correo electrónico
2. Un registro de los últimos lugares del GPS
3. Los números de teléfono tomado de los registros de llamadas recientes
4. SMS de datos, incluyendo los números de los últimos y los mensajes codificados

El Android Police blog describió al riesgo como “dejar las llaves debajo del tapete y esperar que nadie las encuentre y abra tu puerta”.

Rik Ferguson, director de investigación de seguridad y comunicaciones de Trend Micro, cree que el riesgo debe ser fácil de resolver.

“Suena como algo muy simple de parchar”, dijo a la BBC.

“Ellos no previeron que el tipo de información podría ser de interés. Es una falta de previsión en lugar de la programación laxa, creo. Debe ser algo relativamente fácil de solucionar.”

Via: BBC Online