Descubren problemas de seguridad en algunos HTC
Algunos modelos de smartphones de HTC tiene un fallo que permite a las aplicaciones que se conectan a internet acceder a información personal, como los datos de localización del usuario.
Algunos smartphones de HTC, incluidos el Evo 3D, el Evo 4G y el modelo Thunderbolt, tienen un fallo que permite a las aplicaciones que se conectan a Internet instaladas en los dispositivos acceder a la información personal como los datos de los mensajes de texto, información sobre la localización, direcciones de correo electrónico y números de teléfono. Eso es, al menos, lo que aseguran tres investigadores de seguridad.
El investigador Artem Russakovskii ha dicho que tanto él como Justin Case y Trevor Eckhart ha descubierto una vulnerabilidad relacionada con las herramientas de logging que HTC ha instalado recientemente en los dispositivos durante una actualización de software.
Esa herramienta, escribe Russakovskii, se utiliza normalmente para analizar de forma remota los problemas que pudiera tener un dispositivo, entre otras cosas. El problema es que la actualización permite que cualquier aplicación en los dispositivos afectados que se conecte a Internet pueda acceder a: la lista de cuentas de usuarios, incluidas las direcciones de correo electrónico; las últimas localizaciones GPS conocidas; los números de teléfono del registro de llamadas; los datos de SMS, incluidos los números de teléfono y el texto cifrado; los registros del sistema, lo que incluye toda la información sobre las aplicaciones instaladas, direcciones de correo electrónico, números de teléfono y otra información privada.
Por el momento lo único que pueden hacer los usuarios afectados es esperar un parche de HTC o acceder al sistema del terminal a través de un jailbreak para eliminar las herramientas de logging, explica Russakovskii, que advierte a los usuarios que vigilen cuidadosamente la descarga de aplicaciones sospechosas.
Russakovskii ha escrito también que los tres investigadores contactaron con HTC para explicarle el problema el pasado 24 de septiembre, y que han esperado cinco días antes de hacerlo público.
Los dispositivos vulnerables, dice Russakovskii, podrían también incluir el Evo Shift 4G, el MyTouch 4G Slide, el próximo Vigor, algunos Sensations, “y otros muchos”.