Grave problema de seguridad en algunos teléfonos HTC

Viendo que en algunos medios se está dando una información bastante deficiente sobre este asunto, voy a hacer un resumen intentando explicar el problema de la forma más clara posible.

En la última actualización de HTC se incluyó una aplicación del sistema (HTC Loggers) que genera un log con información del terminal, en principio orientada a ayudar al servicio técnico. Dicho log contiene una gran cantidad de información ya que pesa unos 3,5 MB, un tamaño bastante elevado para este tipo de ficheros.

Entre muchos otros, los datos más importantes almacenados en el log son los siguientes:

• Lista de cuentas de usuario, incluyendo las direcciones de correo electrónico y su estado de sincronización.
• Última ubicación de red y de GPS, y un historial limitado de las últimas ubicaciones.
• Números de teléfono del registro de llamadas.
• Datos de SMS, incluyendo números de teléfonos y textos cifrados.
• Lista de aplicaciones instaladas.
• Información sobre la CPU, la memoria y la batería.
• Infomación sobre el software del sistema: número de compilación, versión de bootloader, versión de radio y versión de kernel.

El fallo de seguridad permitiría acceder a todos estos datos desde cualquier aplicación que tenga permiso de acceso a Internet (android.permission.INTERNET), y por lo tanto podría enviarlos al exterior sin nuestro consentimiento.

Esto no signfica que cualquier aplicación que esté disponible ahora mismo en Android Market y requiera los permisos de acceso a Internet vaya a coger nuestros datos. Simplemente es un fallo que existe y algún desarrollador malicioso podría construir una aplicación que aprovechara esta vulnerabilidad.

En principio los modelos afectados serían los siguientes:

• HTC EVO 3D
• HTC EVO 4G
• HTC Sensation (algunas versiones)
• HTC Thunderbolt
• HTC EVO Shift 4G
• HTC EVO View 4G
• HTC myTouch 4G Slide

Algunos modelos más podrían sufrir esta vulnerabilidad pero de momento no se sabe con seguridad cuáles sí y cuáles no. Lógicamente, según lo que hemos explicado al principio del artículo, solo tendrán este problema los terminales que tengan instalada la última actualización de software de HTC.

HTC Logging Danger

El descubridor de esta vulnerabilidad, Trevor Eckhart, ha publicado una aplicación que demuestra la existencia del fallo y que efectivamente se puede hacer un uso indebido y malicioso de éste.

Solución

La compañía HTC ha indicado que está trabajando en la corrección del problema, pero se desconoce cuándo lanzará una actualización que lo solucione.

Mientras tanto, si tenemos root en nuestro terminal, podemos eliminar manualmente la aplicación HtcLogger.apk, que se encuentra en el directorio /system/app/ y es la que genera los logs con la información de nuestro teléfono.

De todas formas, siempre evitaremos problemas si no instalamos aplicaciones poco comunes o de orígenes desconocidos que requieran acceso a Internet.

Fuentes: Android Police, Xataka Android