Sikkerhets-varsko for HTC

Sikkerhets-varsko for HTC

Sikkerhetseksperter har funnet alvorlige sikkerhetsfeil ved en rekke HTC-mobiler.

Feilene dreier seg om en del av HTCs Android-telefoner, og sikkerhetsekspertene sier de varslet HTC om oppdagelsen 24. september, men uten å få noe svar. Derfor har de nå gått ut offentlig med saken for å varsle brukerne om sikkerhetsrisikoen de er utsatt for.

Modifisering av Android

HTC har åpenbart foretatt modifiseringer av Android-operativsystemet som åpner mobilene for hackere og datatyver, skriver amerikanske PC World .

Både e-postadresser, GPS-stedsangivelser, telefonnumre og tekstmeldinger vil lett kunne hentes ut av mobilene, ifølge sikkerhetsekspertene.

HTC-modeller som er berørt, skal være EVO 3D, EVO 4G, Thunderbolt og muligens mobilene i HTCs Sensation-familie, heter det.

De tre sikkerhetsforskerne, Trevor Eckhart, Artem Russakouskii og Justin Case, sier de informerte HTC om sine oppdagelser 24. september. Men ettersom de ikke fikk noe svar på fem dager, besluttet de å gå ut med informasjonen på fredag i forrige uke.

Nøkkelen under dørmatta

Endringene som HTC skal ha gjort med Android-systemet, skal ha tilført systemet en ny loggføringsløsning. Denne bidrar til at applikasjoner som brukeren gir internett-tilgang til, også får tilgang til en mengde sensitiv informasjon på mobilen. Endringene bidrar til at de berørte applikasjonene kan sende informasjonen de finner til et hvilket som helst sted på internett uten at brukeren vet om det.

Dette er omtrent som å legge igjen nøkkelen under dørmatta uten å innse at det da er stor fare for at noen finner nøkkelen, sier en av sikkerhetsekspertene til PC World, som påpeker at de fleste brukere pleier å svare «ja» når det dukker opp spørsmål på skjermen om å gi den og den appen tilgang til internett.

E-post og GPS-data

Data som mobilen kan sende fra seg, omfatter e-postadresser, hvilket lokalnettet brukeren sist var tilknyttet, GPS-stedsdata, telefonnumre fra mobilens telefonlogg, sms-data, systemlogger som holder rede på alt som applikasjonene gjør, systeminformasjon som installert minne, prosess- og prosessor-data, installerte apper og hvilke rettigheter de har i systemet samt brukerens bruker-ID for å anvende appene.

Ifølge sikkerhetsekspertene er den eneste måten å bli kvitt sikkerhetsproblemene å «jailbreake» mobilen, noe som fører til at man mister garantien. For å fjerne loggeverktøyet kan brukeren fjerne programpakken htcloggers.apk, som finnes i mappen «/system/app/».

Åpen kildekode en sikkerhetstrussel?

– Denne siste sikkerhetstrusselen viser problemene som kan oppstå i et åpent kildekode-miljø som Android, skriver amerikanske PC World i en kommentar til saken. – Selv om åpenheten gjør det mulig for telefonprodusenter og applikasjons-utviklere å gjøre kreative endringer i grunnsystemet, kan det også åpne en dør inn til dataene til telefonens eier, skriver PC World.

Enterprise