El fallo puede llegar a permitir el acceso a información confidencial por parte de aplicaciones de terceros a las que el usuario permita el acceso a Internet.

Recursos afectados

De momento se ha detectado el problema en los siguientes modelos:

  • EVO 4G
  • EVO 3D
  • Thunderbolt
  • EVO Shift 4G
  • MyTouch 4G Slide

No se descarta que existan más modelos afectados.

Solución

Hasta que HTC no publique una solución al problema, como medida de prevención se debería de evitar la instalación de nuevas aplicaciones en el dispositivo en la medida de lo posible, y en caso de necesitar instalarlas, se debe acudir a la página del desarrollador o bién a repositorios que nos ofrezcan la máxima seguridad. Respecto de las aplicaciones que estén instaladas en nuestro terminal, habría que eliminar aquellas que no sean totalmente necesarias y que hayamos instalado recientemente.

Detalles

En una actualización reciente para algunos de sus dispositivos, HTC incluyó una serie de herramientas que recopilan información del dispositivo. Entre esos datos hay contactos, datos de llamadas, de SMS, datos de localización y alguno del sistema.

El problema radica en que esa recogida de información no está tratada de forma segura, codificada o protegida por algún tipo de permiso adecuado, sino que por el contrario cualquier aplicación que tenga permisos de acceso a Internet (android.permission.INTERNET, común a aplicaciones que se conectan a Internet) podría acceder a esa información sin ningún control por parte del sistema.

Impacto

La explotación de esta vulnerabilidad podría permitir el acceso a información protegida mediante una aplicación con un permiso que en principio no debiera de suponer un riesgo.

Hay que señalar que sería necesario que el usuario instalara una aplicación que explotara esta vulnerabilidad.

Referencias