Lukę wykryli autorzy bloga Android Police w najnowszych urządzeniach HTC takich jak EVO 3D, Thunderbolt czy EVO 4G. Dziura związana jest z pakietem narzędzi do logowania (HtcLogger) wprowadzonych do systemu Android przez producenta smartfonów. Narzędzia nie tylko ułatwiają logowanie, ale również przechowują prywatne dane użytkowników. Przede wszystkim zaś nie są bezpieczne. Jak twierdzą osoby, które wykryły lukę, umożliwia ona dostęp do prywatnych danych za pomocą zwykłej aplikacji wykorzystującej pozwolenie użytkownika do połączenia z Internetem. Chodzi tutaj o adresy e-mail, status synchronizacji, połączenia GPS, lokalizację, numery telefonów i informacje o połączeniach, wiadomości SMS, a także logi systemowe.
Taka luka jest bardzo prosta do wykorzystania. Wystarczy aby cyberprzestępca umieścił w Android Markecie niewinnie wyglądającą aplikację łączącą się z Internetem. Nie musi ona wymagać żadnych dodatkowych przywilejów od użytkownika. Wystarczy kontakt z Siecią i prywatne dane są zagrożone. To jeszcze nie wszystko. Za pomocą wykrytej luki można uzyskać dostęp do takich informacji jak powiadomienia, wersja zainstalowanego w telefonie systemu, wersja jądra, wiadomości o sieci, w tym adres IP, pełne dane na temat pamięci urządzenia i procesora. Cyberprzestępca może przejrzeć aktywne procesy, zainstalowane aplikacje, a nawet status baterii. Chyba lepiej zapytać — czego nie może?
Zdaniem autorów bloga HTC po zgłoszeniu luki 5 dni temu, nie odpowiedział na informacje. Jeżeli informacje o dziurze w oprogramowaniu się potwierdzą, producent powinien jak najszybciej wydać odpowiednią aktualizację dla swoich narzędzi, które bardzo narażają wszystkie dane użytkowników i same urządzenia. Trudno nawet skomentować tak poważne uchybienie w kwestii bezpieczeństwa smartfonów HTC.
