個人情報などを任意のアプリが読み取り可能な脆弱性、HTC 製 Android スマートフォンで発見される 4
ストーリー by reo
AppLog話ではありません 部門より
AppLog話ではありません 部門より
headless 曰く、
HTC 製 Android スマートフォンの一部で、任意のアプリが個人情報などを読み取り可能な脆弱性が発見されたとのこと (Android Police のブログ記事、threatpost の記事、本家 /. 記事、本家 /. 記事 (その2)) 。
HTC は最近のアップデートでトラブルシューティング用のデータを収集するアプリ (HTCLoggers) を追加したが、収集したデータを保存するファイルに適切な権限が設定されていないという。そのため許可された権限とは関係なく任意のアプリがデータを読み取れる状態になっており、インターネットアクセスの許可されたアプリでは読み取ったデータを送信することも可能となる。
HTCLoggers が収集する主なデータは、端末に登録されたユーザーアカウント情報や通話履歴、ユーザーの位置情報、エンコードされたテキストを含む SMS データ、システムログなど。ハードウェア / ソフトウェア情報なども含まれるという。影響を受ける端末は、EVO 3D、EVO 4G、Thunderbolt ほか。国内販売モデルが影響を受けるかどうかは不明だ。なお、Android Police ではチェック用のアプリを提供しており、ユーザーから報告された端末もリストに追加されている。
ちなみに、本家 /. ではこのネタを 2 日続けて掲載してしまい、ゆるく突っ込まれていた。
脆弱性 (スコア:2)
> 収集したデータを保存するファイルに適切な権限が設定されていないという。
保存したファイルの保存場所に関する脆弱性の話ではなく、収集したログ情報を提供するHTTP APIが認証もなしに実装されてた事による情報漏洩ですよね。
なので、通信許可のあるアプリならば本来は別のパーミッションが必要な情報も簡単に取り出せてしまうわけです。通信許可のないアプリではHTCLoggerにはアクセスできません。
キャリアのコンフィギュレーションによってこのアプリが入っていなかったり、ポートが閉じられていたりするようですので、必ずしも全てのHTC端末に影響するわけではありません。
日本のキャリアの場合はどうなんでしょうね…
…というか (スコア:1)
その辺は一般端末除いて開発端末でやってもらいたい。
# 一般運用で取得するとは…
# Androidがベータならぬアルファ版と揶揄されることがあるようにやっぱり不具合が多いからだろうか
間抜けってこと? (スコア:0)
そんなに難しいことでもない、単純なことだと思うけど、それも気づかずに・・・おまぬけってことでOK?
Androidだとファイルシステムに直接さわれるから、こういう間抜けな人がアプリを開発すると簡単に個人情報が漏れてしまうってことなんでしょうね。
それがメーカーだとさらに酷いことに・・・
Re: (スコア:0)
シャープさんもIS01で似たようなことをやらかしてましたね。キーロガーでしたか