Trovata una pericolosa falla che coinvolge gli ultimi terminali. Qualunque applicazione con permesso di accesso a Internet potrebbe entrare in possesso di dati quali gli account utente, gli SMS, le coordinate GPS.
C’è non poca preoccupazione per la scoperta di una pericolosa falla
di sicurezza che coinvolgerebbe alcuni terminali a marchio HTC, dotati del sistema
operativo Google Android. Tre ricercatori – Justin Case, Artem Russakovskii
e Trevor Eckhart – avrebbero infatti rilevato una lacuna in alcuni telefoni
piuttosto noti commercializzati dal produttore taiwanese: EVO 3D, EVO 4G, Thunderbolt
ed altri modelli.
In alcuni prodotti, HTC ha recentemente inserito un software – sviluppato
autonomamente – che raccoglie un gran numero di informazioni sul dispositivo
e sulle attività espletate. Conosciuto con l’appellativo di htclogger,
il software sarebbe stato pensato per aiutare gli sviluppatori nell’individuazione
e nella risoluzione dei bug.
Secondo i tre ricercatori, però, l’utilizzo di un’applicazione come
htclogger, in grado di “tracciare” una vasta mole di dati, andrebbe
permesso solo all’utente oppure essere resa disponibile solo a determinati servizi
dotati dei privilegi più elevati.
Invece, può accadere che qualunque applicazione installata sul dispositivo
che richieda semplicemente il permesso android.permission.INTERNET
ossia il diritto di accedere ad Internet (si tratta del comune permesso indispensabile
per garantire il funzionamento di qualunque programma necessiti di colloquiare
con un server remoto), possa “mettere le mani” sulla lista degli account
utente (compresi indirizzi e-mail e stato della sincronizzazione), sull’ultima
rete di comunicazioni utilizzata, sulle più recenti coordinate GPS, sugli
SMS (compresi numeri di telefono e testi codificati) nonché sui log di
sistema.
Non solo. Stando a quanto dichiarato da Russakovskii ponendo sotto la lente
il comportamento di un suo HTC EVO 3D, i dati accessibili includerebbero molte
altre informazioni in più.
Tra di esse, i testi relativi ai messaggi di notifica via a via visualizzati,
le caratteristiche della rete e gli indirizzi IP, l’elenco dei processi in esecuzione,
la lista delle applicazioni installate, dei fornitori di contenuti, delle variabili
e delle proprietà di sistema e così via.
Il software htclogger dispone di una vera e propria interfaccia che non è
protetta nemmeno con un’accoppiata nome utente – password: il semplice comando
:help:, spiega Russakovskii, consente di ottenere una lista completa delle funzioni
disponibili.
I tre ricercatori auspicano un tempestivo intervento da parte di HTC per risolvere
una problematica che potrebbe rivelarsi estremamente pericolosa per gli utenti:
la semplicità con cui un’applicazione “malevola” può
sottrarre informazioni personali è infatti disarmante.
