Брешь обнаружена в журнале событий, предназначенном для работы с Sense, стандартной визуальной темой, предоставляемой HTC. Недавно появившееся приложение собирает такую информацию о телефоне, как:
- Список учетных записей пользователей, в том числе синхронизационные данные
- GPS-данные с ограниченной историей перемещения устройства
- Номера телефонов журнала вызовов
- SMS сообщения, в том числе номера телефонов и текст в зашифрованном виде (возможность расшифровки текста пока не подтверждена).
Получить собираемую приложением информацию очень просто, желающие могут загрузить PoC- код эксплоита. «Это все равно, что оставить под ковриком у входа в дом ключи и надеяться, что ими никто не воспользуется», - пишет Руссаковский.
Представители HTC уже прокомментировали данное сообщение: «В HTC очень серьезно относятся к безопасности данных пользователей, и мы ведем расследование, пытаясь как можно быстрее разобраться в данном вопросе. Мы вас уведомим, как только определим точность заявленной информации, а также о действиях, которые возможно придется предпринять».
Устранить данную уязвимость невозможно без удаления HTC Sense. Пользователям остается надеяться на обновление безопасности от HTC.
Via Security Lab
Горячие темы