パスワードを忘れた? アカウント作成
806734 story
携帯電話

個人情報などを任意のアプリが読み取り可能な脆弱性、HTC 製 Android スマートフォンで発見される 4

ストーリー by reo
AppLog話ではありません 部門より

headless 曰く、

HTC 製 Android スマートフォンの一部で、任意のアプリが個人情報などを読み取り可能な脆弱性が発見されたとのこと (Android Police のブログ記事threatpost の記事本家 /. 記事本家 /. 記事 (その2)) 。

HTC は最近のアップデートでトラブルシューティング用のデータを収集するアプリ (HTCLoggers) を追加したが、収集したデータを保存するファイルに適切な権限が設定されていないという。そのため許可された権限とは関係なく任意のアプリがデータを読み取れる状態になっており、インターネットアクセスの許可されたアプリでは読み取ったデータを送信することも可能となる。

HTCLoggers が収集する主なデータは、端末に登録されたユーザーアカウント情報や通話履歴、ユーザーの位置情報、エンコードされたテキストを含む SMS データ、システムログなど。ハードウェア / ソフトウェア情報なども含まれるという。影響を受ける端末は、EVO 3D、EVO 4G、Thunderbolt ほか。国内販売モデルが影響を受けるかどうかは不明だ。なお、Android Police ではチェック用のアプリを提供しており、ユーザーから報告された端末もリストに追加されている。

ちなみに、本家 /. ではこのネタを 2 日続けて掲載してしまい、ゆるく突っ込まれていた。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by pohsla (34117) on 2011年10月05日 18時46分 (#2029968)

    > 収集したデータを保存するファイルに適切な権限が設定されていないという。

    保存したファイルの保存場所に関する脆弱性の話ではなく、収集したログ情報を提供するHTTP APIが認証もなしに実装されてた事による情報漏洩ですよね。
    なので、通信許可のあるアプリならば本来は別のパーミッションが必要な情報も簡単に取り出せてしまうわけです。通信許可のないアプリではHTCLoggerにはアクセスできません。

    キャリアのコンフィギュレーションによってこのアプリが入っていなかったり、ポートが閉じられていたりするようですので、必ずしも全てのHTC端末に影響するわけではありません。
    日本のキャリアの場合はどうなんでしょうね…

  • by deleted user (42768) on 2011年10月05日 13時46分 (#2029857)
    「トラブルシューティング用のデータを収集するアプリ」という体裁でSMSの内容すら記録するのはいかがなものかと。
    その辺は一般端末除いて開発端末でやってもらいたい。

    # 一般運用で取得するとは…
    # Androidがベータならぬアルファ版と揶揄されることがあるようにやっぱり不具合が多いからだろうか
  • by Anonymous Coward on 2011年10月05日 12時15分 (#2029812)

    そんなに難しいことでもない、単純なことだと思うけど、それも気づかずに・・・おまぬけってことでOK?

    Androidだとファイルシステムに直接さわれるから、こういう間抜けな人がアプリを開発すると簡単に個人情報が漏れてしまうってことなんでしょうね。
    それがメーカーだとさらに酷いことに・・・

    • by Anonymous Coward

      シャープさんもIS01で似たようなことをやらかしてましたね。キーロガーでしたか

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...