Android, como cualquier otro sistema operativo, tiene fallos de seguridad. A veces éstos provienen de la propia versión oficial y a veces también los podemos encontrar en las compilaciones que hacen los fabricantes como HTC, Samsung, Sony Ericsson, etc.
Hoy nos toca hablar precisamente de un fallo de seguridad en los teléfonos HTC y es que los chicos de AndroidPolice han descubierto que la versión de Android de la compañía taiwanesa tiene un fallo de seguridad bastante importante: la aplicaciones pueden acceder a nuestros datos con tener sólo permiso para conectarse a Internet.
En la última actualización de HTC se habilitó una opción que permitía a los usuarios generar un log que con información del terminal en principio orientada a ayudar al servicio técnico. Dicho log pesa unos 3,5 MB, cantidad realmente elevada para este tipo de ficheros.
La información que se almacena en ese log, y que por tanto las aplicaciones podrían recolectar es la siguiente:
Lista de cuentas de usuarios incluído la dirección de correo y su estado.
Última red utilizada, localización reciente del GPS y un historial corto de las llamadas realizadas.
Datos de SMS con números de teléfonos y textos cifrado (en Android Police se comenta que podría ser posible desencriptarlos).
Datos varios del sistema como información de la CPU, de la memoria, lista de aplicaciones instaladas…
Información de la batería.
Antes de continuar hagamos un pequeño inciso. Este fallo no signfica que cualquier aplicación que hay ahora mismo en el Android Market y requiera de los permisos de Internet vaya a coger nuestros datos sin enterarnos. Simplemente es un fallo que está ahí y que algún desarrollador malicioso podría aprovechar, la diferencia de los dos casos es grande.
HTC Logging Danger, la prueba del algodón
Lanzar todos estos datos requieren de unas pruebas que lo corroboren y para ello el descubridor de este fallo, Trevor Eckhart, ha publicado una aplicación que demuestra que este fallo existe y que, efectivamente se puede hacer un uso indebido y malicioso de este.
No he podido probar personalmente la aplicación porque no tengo ningún móvil HTC con la versión oficial pero cualquier usuario que tenga uno de los terminales de la siguiente lista y no le haya instalado una ROM puede hacer la prueba por su cuenta:
HTC EVO 4G
HTC EVO 3D
HTC Thunderbolt
EVO Shift 4G
Algunos modelos del HTC Sensation
También se cree que otros terminales podrían sufrir este problema pero de momento no se sabe con certeza cuáles sí y cuales no.
Solución al problema, de momento hacer root
HTC de momento no ha movido ficha y no ha sacado una actualización que solucione este problema por lo que si queremos evitar disgustos lo mejor es hacer root y deinstalar manualmente la aplicación que guarda los logs. Se encuentra en la siguiente ruta: /system/app/HtcLoggers.apk.
Esperemos que la compañía taiwanesa de pronto una solución oficial y que no provoque muchos problemas porque lo cierto es que el fallo de seguridad es bastante importante. Se puede acceder a mucha información de forma muy sencilla. Aún así, que cunda la calma y recordad: ante la duda sobre si una aplicación parece legítima o no mirad todos los detalles con lupa.
Vía | AndroidPolice