Olette saattaneet jo huomata Suomen mediassa juttuja Android-asiantuntija Trevor “TrevE” Eckhartin 24.10. julkaisemista tutkimustuloksista HTC:n puhelinmallien vaarallisista tietoturva-aukoista. Tärkein tieto täkäläisille käyttäjille kuitenkin puuttuu uutisjutuista; kyseistä HtcLoggers.apk-ohjelmaa EI löydy muista kuin amerikkalaisista laitteista. Sitä ei esim. löytynyt toimituksemme Evo 3D:stä ja Sensationista. 

HTC ei vielä ole vastannut syytöksiin eikä myöskään Trevorin yhteydenottopyyntöön, kun hän ilmoitti haavoittuvuudesta. Joka on samalla tietojen julkisuuteen tuomisen syy.

Android Police-sivusto avusti Trevoria lisätutkimuksissa, jotka julkaistiin eilen sivustolla. Käytännössä haavoittuvuus koskee HTC:n tiedonkeräystyökalua “HtcLogger.apk”, joka on yksi monista vastaavista, mutta vaara on lähinnä siinä, että tämä ei vaadi kuin tietyt oikeudet haavoittuvuutta hyödykseen käyttävältä haittaohjelmalta, koska kyseistä työkalua ei ole edes salasanasuojattu ja se on kaikille avoin, ei vain HTC:lle. Se yrittää myös käyttää root-oikeuksia, mutta vakionahan niitä ei missään puhelimissa ohjelmille anneta, vaan ne pitää hakkeroida itse esim. puhelimen ohjelmiston vaihtamista (custom ROM jne.) varten.

Samassa yhteydessä mainitaan aiemmin kohua herättäneet jenkkioperaattoreiden Carrier IQ (CIQ)-ohjelmat sekä androidvncserver.apk, joka oli löytynyt Samsungin ja HTC:n amerikkalaismalleista, mutta se ei käynnistynyt puhelimen käynnistyessä, mutta VNC-termistä päätellen kyseessä on jonkinlainen etäkäyttöohjelma. Mikäli se on varustettu yhtä heikolla tietoturvalla kuin muut löydetyt ohjelmat, niin vakaviakin vaaroja on havaittavissa.

Haavoittuvuus koskee siis tällä hetkellä vain amerikkalaisia, vakiolla Sense-firmwarella varustettuja, HTC Evo 4G, Evo 3D sekä Thunderbolt-laitteita. Mikäli puhelimessa on esim. suosittu CyanogenMod-custom ROM, se on turvattu. Jäämme seuraamaan mikäli ko. ohjelmistoja löytyy myös muista maista, mutta tällä hetkellä foorumeille satelee raportteja, että niitä ei olisi muualla ollenkaan.

Alla olevassa videossa Trevor ajaa itse luomansa haavoittuvuustestiohjelman, joka pyytää pelkkiä INTERNET-oikeuksia ja sen jälkeen näyttää miten kyseessä oleviin tietoihin pääsee käsiksi. Ohjelma on ajettu roottaamattomalla Evo 3D-puhelimella.

httpvh://www.youtube.com/watch?v=YoTUkQ7SlNU

Lähde: Androidpolice