Android

Alguns smartphones Android HTC têm vulnerabilidade grave

53 Comentários

A segurança em dispositivos Android continua comprometida. Desta feita é a HTC que, com uma aplicação sua, está a guardar informação crítica e privada na memória interna de alguns dos seus smartphones, facilmente acessível por terceiros.

O problema surge na forma como essa informação está guardada, o que possibilita que outras aplicações lhe acedam e usem essa informação.


Aquando da utilização de um smartphone HTC Sense pela primeira vez, pelo menos em novos smartphones americanos com HTC Sense, é perguntado ao utilizador se a HTC pode ou não reunir informação acerca da sua utilização. Essa informação, à partida, será útil à HTC no sentido de melhorar o seu software, portanto, se o utilizador aceitar a informação será enviada à HTC de forma consentida, se não aceitar… bem, a informação pode não ser enviada mas continua a ser reunida, internamente, no sistema.

Estando a aplicação HTC Sense inerente ao sistema, as permissões desse software não são declaradas. Isso permite à HTC gerir tudo como entender e, infelizmente, guardar a informação de forma insegura. Sendo agora esta vulnerabilidade tornada pública, poderão facilmente ser criadas aplicações que, uma vez sendo conhecido o local onde tal informação é armazenada, podem tratar maliciosamente toda essa informação. A única permissão necessária para que essa informação seja acedida é android.permission.INTERNET (acesso total à internet), que existe na generalidade das aplicações.

Os dados comprometidos dizem respeito à identificação do smartphone, localização geográfica, números telefónicos nos registos de chamadas e nomes de conta. Informações como palavras-passe, SMS ou IM não estão comprometidas.

Os smartphones HTC afectados são o EVO 4G, EVO 3D, Thunderbolt, EVO Shift 4G, MyTouch 4G Slide e Sensation (alguns). Apenas os smartphones com software original estão comprometidos. Os que tiverem uma ROM baseada no AOSP, como a CyanogenMod, não correm qualquer risco.

É possível corrigir este problema, de forma radical, para dispositivos com permissões de acesso root. Para tal, com as devidas permissões, basta remover a aplicação localizada em /system/app/HtcLoggers.apk. Se não tem acesso root e não quer que a sua informação seja comprometida, pelo menos até uma actualização proveniente da HTC, então não deve instalar aplicações que lhe pareçam suspeitas.

Se pretender verificar se o seu HTC está ou não vulnerável, poderá instalar a aplicação open-source “Proof of Concept”, nesta ligação, que permite verificar se existe ou não informação vulnerável na sua memória interna. Mais detalhes em AndroidPolice.

É ainda sabido que a HTC foi contactada, antes da vulnerabilidade ser tornada pública, no sentido de esclarecer este problema. Não foi obtida qualquer resposta em 5 dias úteis. Dado o problema ter sido aparentemente ignorado, decidiram tornar esta vulnerabilidade pública para que a HTC se mexa e implemente uma solução. [via]

PUB
Autor: Hugo Cura
Partilhar:
Tags:

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
2012 é o ano de Diablo III!
Artigo anterior

2012 é o ano de Diablo III!
Envio de e-mails – Como ocultar os e-mails dos meus amigos?
Próximo artigo

Envio de e-mails – Como ocultar os e-mails dos meus amigos?
PUB

Comentários

53

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Paulo Gerardo
    Paulo Gerardo

    Deixa ver, a HTC faz um aplicação que reúne informação que depois alguém pode aceder. Onde é que Android entra no meio disto tudo mesmo?

    Assaltaram-me a casa, tinha um iPhone cá dentro.
    Conclusão lógica:
    A culpa é do iPhone

    Responder
    1. Avatar de GreenTuxer
      GreenTuxer

      Mas alguém está a dizer que a culpa é do Android OS?

      A situação sucede em smartphones HTC que tenham o Android OS fornecido pela HTC.
      A culpa é da HTC, pela app que fizeram que permite que qualquer outra app com permissões de acesso à internet tenha acesso a tudo o que a app da HTC tem.

      Leiam melhor antes de fazer acusações e posts disparatados.

      Responder
      1. Avatar de RaCcOn
        RaCcOn

        Lol, Olha este com a mania da perseguição lol
        Não leu o post todo, e pensou logo “Estão a dizer que a culpa é do Android” Lol
        Gostei de ele dar logo o exemplo do iPhone lol

        Mais um que queria ter um iPhone e não tem. lol

        Responder
        1. Avatar de Sr. Pm.º Aníbal Cavaco Silva
          Sr. Pm.º Aníbal Cavaco Silva

          lol

          Responder
        2. Avatar de GreenTuxer
          GreenTuxer

          Fizeste responder à pessoa errada, não foi para mim de certeza!

          Responder
          1. Avatar de Sr. Pm.º Aníbal Cavaco Silva
            Sr. Pm.º Aníbal Cavaco Silva

            Sabes que quando alguém critica iPhone é porque é um wannabe de iPhone user. Não ligues.

            lol.

        3. Avatar de Marcelo Barros
          Marcelo Barros

          Eu gosto destes artistas, “mais um que queria ter um iPhone e não tem”.

          Até te digo mais, comprei o meu Htc Incredible S por 430 euros, na altura ainda não tinha saído o Sensation, se não dava os 500 ou 600 euros por ele.

          A razão de não comprar um iPhone não é por este ser melhor ou pior, mas sim pela sua “politica” da Apple, quando a Apple mudar de politica, certamente comprarei produtos Apple.

          Da-me nojo é pessoal que só por comprar alguma coisa da Apple e alguém não querer comprar, já pensam que é porque não tem dinheiro. Acham que ter Apple é ser de uma elite.

          Mas eu gosto é daqueles artistas que compram um iPhone e nem uma tarifa de dados tem.
          Para que querem um smartphone sem tarifa de dados?

          Ao menos tenho o meu smartphone o meu plano de facturação, com 50 euros em chamadas por mês e tarifa de dados (a empresa paga).

          É a vida de um Analista/Programador, quantos iPhones queres que compre?

          Cumprimentos.

          Responder
          1. Avatar de Marcelo Barros
            Marcelo Barros

            “Da-me nojo é pessoal que se julga mais que os outros por comprar Apple, e que se alguém critica a Apple, é porque não tem dinheiro para comprar.
            Pensam que ter Apple é pertencer a uma elite.”
            Correcção.

            Esta é outra das razões por qual não compro Apple.

          2. Avatar de Paulo Gerardo
            Paulo Gerardo

            Eles têm sempre a mesma resposta. “Querias ter um iPhone” É impossível discutir de uma forma civilizada e saudável. É a vida de um empresário/administrador de sistemas 😀 😀 😀

      2. Avatar de David Monteiro
        David Monteiro

        Percebo o porquê do Paulo Gerardo dizer isso. A primeira frase do artigo dá a entender isso:

        “A segurança em dispositivos Android continua comprometida.”

        Apesar disto ter acontecido em dispositivos Android, nada tem a ver com a plataforma em si. A vulnerabilidade está na aplicação e não no sistema operativo.

        Responder
        1. Avatar de Hugo Cura
          Hugo Cura

          Essa frase que citas não generaliza e é completamente verdadeira mas na verdade pode suscitar algumas dúvidas. Para as esclarecer, basta ler a frase seguinte.

          Responder
  2. Avatar de Bruno Filipe
    Bruno Filipe

    Ao fim de 3 comentários o tema já é Iphone…enfim
    É triste é que a empresas simplesmente não tenham respeito pelos clientes o que eu tenho contra estas coisas é onde na noticia referem que é pedido para guardar e enviar informação e sendo a resposta não esta continue a ser guardada mesmo que não enviada, isso é o mesmo que não perguntar. Ja aconteceu com muitos por isso ninguém se fica a rir a apple também não é um grupo de anjinhos já houve a conversa do de guardar a informação de localização GPS ( para refrescar a memoria de quem começa logo a tirar partidos de SO) são todos iguais e quem é o palhaço no meio disto é sempre o cliente.

    Responder
  3. Avatar de JP
    JP

    Offtopic:
    Ainda falta muito para a review completa do Galaxy Tab 10.1??
    Ai à cerca de 1 mês saiu um post que dizia que estavam a testar o Galaxy Tab 10.1 e que brevemente saia um review…

    Responder
    1. Avatar de Hugo Cura
      Hugo Cura

      Está mesmo aí “a rebentar” 😉

      Responder
  4. Avatar de P.A.
    P.A.

    Lá estão vocês… get a life!

    Responder
  5. Avatar de Joob
    Joob

    Aproveito já que o JP colocou essa questão, queria perguntar se me sabem dizer se o “SGS2 LTE” vai chegar a Portugal, se sim, mais ou menos quando? Vão postar alguma Review do mesmo?

    Responder
    1. Avatar de Hugo Cura
      Hugo Cura

      Isso talvez dependerá apenas da abrangência desse tipo de tecnologia a nível nacional. Se se justificar, sim, será testado para verificar a qualidade da ligação (e a velocidade de 1.5GHz nele prevista).

      Responder
      1. Avatar de Joob
        Joob

        Exacto exacto, é como o novo iphone, o previsto dele é de 1.5ghz.. Já estive a dar uma vista de olhos no SGS2 LTE e realmente é muito rápido, mesmo como o próprio S2.

        Responder
  6. Avatar de Anonimo
    Anonimo

    Ao contrário do que é noticiado aqui, as sms’s também estão comprometidas, como é referido no artigo da Android Police:

    SMS data, including phone numbers and encoded text (not sure yet if it’s possible to decode it, but very likely)

    Responder
    1. Avatar de Anonimo
      Anonimo

      @Hugo Cura, não sei se viste este comentário, mas será melhor emendar o artigo….

      Responder
      1. Avatar de Hugo Cura
        Hugo Cura

        Sim li, tal como li o artigo que referes na íntegra (como podes ver, foi a minha fonte).

        Até existirem provas em contrário (descodificação das SMS), “Informações como (…) SMS não estão comprometidas.”. Portanto, está correctíssimo “à data”.

        Responder
  7. Avatar de José Fonseca
    José Fonseca

    São umas a seguir à outras…

    Responder
  8. Avatar de The STK
    The STK

    Tive um Samsung Galaxy 551 e também perguntava sobre guardar dados para melhorar a experiência etc etc e realmente dava para dizer que não, não faço ideia os Samsungs também sofrem deste “mal”. No meu Ideos X5 não sei porque foi logo com ROM à lá carte logo mal o liguei 🙂

    Responder
    1. Avatar de Telmo Sousa
      Telmo Sousa

      Só um aparte que Rom tem no X5? Está estável?

      Responder
      1. Avatar de The STK
        The STK

        Muito muito estável, tem as funções a 99%… Uso a Oxygen 2.2.2 R3 (Android 2.3.5)+Francisco.Kernel (um tuga grande programador, Franciso Franco acho que aparece por aqui às vezes)

        Responder
  9. Avatar de CMatomic
    CMatomic

    como nunca tive telemóvel android, não era suposto o acesso root ter uma password , como acontecesse nos sistemas como o unix/freebsd e GNU/Linux nos pcs.

    Responder
    1. Avatar de Sr. Pm.º Aníbal Cavaco Silva
      Sr. Pm.º Aníbal Cavaco Silva

      Podes ter um programa de root premissions e cada vez que algum programa queira ter acesso root ele pergunta se permites ou não. Se não estiveres a usar o telemóvel e não responderes ao pop-up ele automaticamente recusa o acesso.

      Responder
  10. Avatar de Manuel
    Manuel

    Eu bem me parecia que mudar de ROM era uma boa ideia…

    Responder
  11. Avatar de Valente
    Valente

    “Os que tiverem uma ROM baseada no AOSP, como a CyanogenMod, não correm qualquer risco.”

    As Custom Rom’s. E eu com mentalidade antiga era contra elas. Até que houve “certa pessoa” que me disse umas coisas que nunca mais esqueci e que me deram a volta á cabeça. Agora são umas atrás das outras. Até o meu Asus Eee Pad Transformer já tem uma em Android 3.2.1 com overclocks de cpu até os 1656 Mhz.
    Esta malta do XDA-Developers é formidável. Faz “milagres”
    Cumps.

    Responder
    1. Avatar de Marcelo Barros
      Marcelo Barros

      É preciso ver até que ponto essas ROMS são fiáveis, até que ponto pessoas que não conhecemos são de confiança.

      Até que ponto alguém testou essas roms.

      Responder
      1. Avatar de Hugo Cura
        Hugo Cura

        A comunidade toda testa ROMs de toda a comunidade. Não vás por aí que não há saída 😉
        Se há coisa bem esmiuçada são as Custom ROMs…

        Responder
      2. Avatar de Oli
        Oli

        Não vamos mais longe no blog da CyanogemMod fala-se que o eles foram contratados pela Samsung.

        “http://www.cyanogenmod.com/blog/the-state-of-cyanogenmod”

        E digo-te mais, tenho muito mais confiança na comunidade que faz as ROMs do que as empresas que vendem os telemóveis com as ROMs deles.

        Responder
        1. Avatar de Marcelo Barros
          Marcelo Barros

          Ainda não investiguei, apenas tenho curiosidade.

          Responder
  12. Avatar de Marco Monteiro
    Marco Monteiro

    Isto é uma das razões pela qual fiz root ao meu HTC e lhe meti uma ROM decente 😛

    Responder
  13. Avatar de Ricardo
    Ricardo

    Por acaso num dos meus HTC’s tinha o HtcLoggers.apk, removi-o com o rootuninstaller 🙂

    Responder
  14. Avatar de CMatomic
    CMatomic

    acho mesmo com esse programa não garante segurança, no sistema pois não pede password , acho que deveria ser igual como nos sistemas de pc, isso é um grave erro de segurança , as aplicações nunca devem ter permissões root automáticas, pois com isso com simples script pode-se fazer uma ligação remota sem que o utilizador do telemóvel fique a saber.

    Responder
    1. Avatar de Hugo Cura
      Hugo Cura

      Isso não é verdade. Todas as permissões root são controladas pela aplicação “Superuser” e, mesmo que o utilizador opte por adicionar determinada aplicação como “confiável”, sempre que essa aplicação faz esse acesso aparece um popup no ecrã a referi-lo. (algo como mostra este screenshot)

      Responder
      1. Avatar de CMatomic
        CMatomic

        uma pergunta, que tipo de aplicações no android tem acesso a root?

        Responder
        1. Avatar de Hugo Cura
          Hugo Cura

          Podes ver aqui alguns exemplos.

          Responder
          1. Avatar de CMatomic
            CMatomic

            mas acho que com a password é mais seguro,

  15. Avatar de Márcio Soares
    Márcio Soares

    Vou aqui dar uma palavrinha aqueles que tanto criticam o IOS.
    Saiba-se que sou utilizador ANDROID e pura e simplesmente adoro.
    Contudo também sei reconhecer que IOS e iPhone são um “must have” para todos, um iPhone não é só um mero smartphone é também uma peça de arte/acessório. Acima de tudo a maturidade do seu SO e qualidade de construção tornam-no num dos melhores senão o melhor smartphone da actualidade.
    Continuo a dizer que sou utilizador android e simplesmente adoro.

    Para terminar quero dizer que embora não tendo um HTC isso é problema que a mim não me afectaria de certeza uma vez que sou um “flashaholic”

    Responder
    1. Avatar de eu mesmo
      eu mesmo

      o problema nada tem haver com Android, mas sim com o ultimo firmware do Sense, q a HTC gosta de meter em todos os seus telefones…

      dizer que o iPhone é um “must have” é a tua opinião, podes dizer que tem um design elegante e uma boa construção, mas a nível de especificações, há smartphones superiores, e o mais engraçado é q chegam a ser 200€ mais baratos.

      Responder
      1. Avatar de eu mesmo
        eu mesmo

        para mim o melhor smartphone da actualidade é o SGS2, só não tem o carisma do iphone e a construçao em plastico é 1 ponto negativo… mas para mim é o melhor.. um, must have 😉

        Responder
        1. Avatar de aver
          aver

          Isso talvez seja verdade … até amanhã.

          Responder
    2. Avatar de Marcelo Barros
      Marcelo Barros

      Instalaste uma ROM de um desses sites conhecidos, pessoal de confiança.

      Responder
  16. Avatar de JokimSilva
    JokimSilva

    Pessoal isto nao passa de mais publicidade. Todas as empresas de software nomomento andar por ai a querer saber o que podem tirar dos clientes para fins diversos. Para mim este problema deveria ser exposto no plano da Uniao Europeia a fim de se evitarem abusos. A Microsoft, Apple e outros acho que tinham sido avisadas mas a maior parte dos utilizadores nunca sabe. O que o pessoal quer e um telefone cool que tire umas fotos e que de para por de imediato na feira das vaidades. E bom que estas noticias saiam mas no fim acabam por nao o ser porque infelizmente isto e pratica corrente de todos.

    Responder
  17. Avatar de Marcelo Barros
    Marcelo Barros

    Normalmente quem faz ROMS, são de paginas conhecidas e o pessoal todo confia.

    Mas serão assim tão de confiança?

    Vejo muito pessoal a deitar foguetes, e falta saber se no final a história não é outra.

    Responder
    1. Avatar de Luis Sousa
      Luis Sousa

      Se vais pensar assim, não andas de transportes públicos porque não confias nas pessoas que os conduzem, não vais ao medico porque não confias na pessoa que te medica… Serão de confiança só porque têm um papel a dizer que são profissionais?

      Eu não tenho dados que suportem o que vou dizer, portanto pode ser mentira, mas estas custom roms se calhar, são mais bem testadas e esmiuçadas que muitas das roms oficiais. São centenas de users a reportarem bugs e a enviarem logs de performance se algo não corre bem. Se a rom não tem o desempenho ou comportamento desejado/previsível são outros tantos a olharem para debaixo do “capôt” para verificar o que se passa. Se mesmo assim não confiares, podes pedir o código fonte e verificar se algo foi alterado.

      Responder
      1. Avatar de Marcelo Barros
        Marcelo Barros

        Até agora ainda não tive curiosidade de testar roms, e obter mais informação acerca de este tema.

        Quanto a comparação que fizeste não tem nada há ver, é precisamente o contrario.

        Eu tenho um HTC e não me sinto assustado com esta noticia.

        O que colocava em causa é acharem que HTC ou outras marcas não são de confiança, mas estas comunidades que faz Roms, sim.

        É preciso muita atenção e instalar roms de comunidades com boa reputação.
        Se não podes estar a instalar uma rom maliciosa.

        Responder
        1. Avatar de Hugo Cura
          Hugo Cura

          “É preciso muita atenção e instalar roms de comunidades com boa reputação.
          Se não podes estar a instalar uma rom maliciosa.”

          Se tu próprio dizes que nunca testaste ROMs e precisas de obter mais informação acerca desse tema, como alegas o que citei? E só porque sim e porque tens “fé” nisso?

          Responder
    2. Avatar de Valente
      Valente

      Oh Caro Amigo
      Tanta desconfiança. Faz como eu, depois da primeira pegou-me o “vício” e agora são umas atrás das outras. Se não se gosta do que se instala, apaga-se e faz-se restore doutra de que mais gostamos.
      No meu Ideos X5 tenho agora 12 backups, além da original Froyo, tenho várias versões das CyanogenMod, da Oxygen e da MIUI. E o X5 não se zanga nem se queixa. Até aguenta overclocks de 1800 Mhz quando eu quero.
      Isto é trabalho sério de gente de confiança em que nós acabamos por estar metidos a colaborar, ás tantas.

      Deixa-te desses lamentos e começa !!!

      Responder
  18. Avatar de aver
    aver

    Os pais da história puseram um vídeo e tudo.
    http://www.androidpolice.com/2011/10/01/massive-security-vulnerability-in-htc-android-devices-evo-3d-4g-thunderbolt-others-exposes-phone-numbers-gps-sms-emails-addresses-much-more/

    É bastante mais do que guardar dados da localização, que foi uma história do iP

    Responder
    1. Avatar de aver
      aver

      …história do iPhone há uns tempos atrás (o Android também guardava/guarda, mas os dados não estavam tão acessíveis).
      Agora é assim, quem quiser explorar a vulnerabilidade daqueles modelos da HTC, com a rom da HTC, tem acesso que ter acesso ao equipamento. Pode é alguém criar uma app “maliciosa” que tenha também acesso a esses dados e os transmita. Até a HTC lançar o patch a medida de segurança é não instalar app de sítios manhosos.
      Por acaso acho que esses dados, embora seja bastante mais do que os tais endereços de localização aproximada, nem são nada por aí além.
      Agora, para quem instala app de sites manhosos há vulnerabilidades de segurança bem mais sérias.

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.