Já não bastassem os problemas do Android, alguns aparelhos da HTC têm um presentinho especial nada agradável: uma falha grave, muito grave, que permite obter diversos dados do usuário e dos aplicativos do sistema.
A pesquisa do Trevor Eckhart chegou a conclusões intermediárias incríveis, só que muito ruins: qualquer aplicação que solicita a permissão android.permission.INTERNET pode obter acesso a inúmeros outros dados, como lista de contas do usuário, incluindo o e-mail e estado da sincronização; lista das redes conhecidas e localização do GPS, além de um histórico limitado dos locais anteriores; números de telefone do log de ligações; dados dos SMS, como telefones e um texto codificado (que de alguma forma provavelmente pode ser decodificado); e logs do sistema (tanto kernel/dmesg como app/logcat), o que permite obter inúmeras outras informações.
Aplicativo de exemplo para mostrar a falha de segurança; código e apk estão publicados
Isso é grave, muito grave: a permissão de uso da internet é uma das mais usadas num smartphone. Muitos aplicativos simples pedem acesso à internet para poderem se comunicar com servidores remotos – como jogos, navegadores, leitores de feeds, ou simplesmente para exibir publicidade. Em teoria não teriam acesso a outros recursos especiais do ambiente, mas essa falha no sistema da HTC permite justamente isso. E o usuário, como quase sempre, sem saber de nada.
A falha se dá na ROM da HTC de alguns aparelhos, como o EVO 4g, 3D, Thunderbolt, MyTouch 4G, entre outros. O relato no Android Police tem mais detalhes.
Quem usa uma ROM personalizada (baseada no Android original, open source) está livre da falha, afinal ela não é nativa do Android e se dá apenas com as modificações da HTC.
O problema já é enorme por aí, mas como se não bastasse, a HTC adiciona o androidvncserver.apk nas instalações dela. O servidor VNC (de acesso remoto) não deveria fazer parte da instalação “comum” do Android, é algo bem feio mas pode até ser justificável se for dependência de algum serviço dela. Só que, dadas as brechas, vai saber os objetivos da fabricante… E ainda não acabou: há também um outro app, HtcLoggers.apk, que coleta diversos dados e pode ser explorado facilmente.
É, os telefones queriam ter recursos de computadores, agora eles têm até demais. Com tanta informação que poderia ser roubada, teoricamente seria possível até mesmo clonar o sistema, realizando ações como se fosse o dono do aparelho original (em se tratando da internet, não do número de telefone).
A HTC está investigando o problema e deve emitir um comunicado quando puder.
Esta postagem foi modificada pela última vez em 03/10/2011 20:42