Una aplicación desarrollada por HTC para sus teléfonos inteligentes hace posible que otras aplicaciones con acceso a Internet capten información personal del usuario y la remitan a terceros.
La organización Android Police ha analizado la aplicación, descubriendo que esta permite a todos los programas instalados en el teléfono con el atributo android.permission.INTERNET -que en sí es una funcionalidad elemental- recabar la siguiente información mediante la herramienta HtcLoggers.
- Lista de las cuentas de usuarios, incluyendo direcciones de correo electrónico
- Historial GPS
- Bitácora de llamadas telefónicas
- Información de mensajes de texto
- Bitácora del sistema, incluyendo kernel, dmesg y app/logcat. Esto incluye todo lo que hacen las aplicaciones que están siendo ejecutadas, incluyendo las direcciones de correo electrónico, números telefónicos y otra información personal.
Los siguientes modelos están en riesgo
Android Police ha detectado que los siguientes modelos presentan el agujero de seguridad. Cabe recalcar que se aplica únicamente a teléfonos con stock Sense:
- EVO 4G
- EVO 3D
- Thunderbolt
Los siguientes modelos podrían estar en situación de riesgo, aunque la información no ha sido confirmada por Android Police.
- EVO Shift 4G
- MyTouch 4G Slide
- Vigor
- Algunos modelos de la serie Sensations
Acceso a root
Los usuarios que hayan desbloqueado su terminal HTC, consiguiendo así acceso root pueden eliminar la aplicación HTC Loggers, que ocasiona las dificultades. La aplicación se encuentra en: /system/app/HtcLoggers.apk
Los usuarios que ejecutan ROMs basados en AOSP, como por ejemplo CyanogenMod, no estarían afectados por el problema de seguridad.
La respuesta de HTC
La vulnerabilidad referida por Android Police fue descubierta por el experto en seguridad Trevor Eckhart, quien habría contactado a HTC el 24 de septiembre, sin recibir respuesta. Ante ello, Eckhart habría decidido hacer pública la información. Android Police agrega que HTC está estudiando el tema, aunque por ahora no ha hecho declaraciones.
Fuente: Android Police
Imagen: Trevor Eckhart explica la vulnerabilidad en YouTube.