C’è non poca preoccupazione per la scoperta di una pericolosa falla di sicurezza che coinvolgerebbe alcuni terminali a marchio HTC, dotati del sistema operativo Google Android. Tre ricercatori – Justin Case, Artem Russakovskii e Trevor Eckhart – avrebbero infatti rilevato una lacuna in alcuni telefoni piuttosto noti commercializzati dal produttore taiwanese: EVO 3D, EVO 4G, Thunderbolt ed altri modelli.
In alcuni prodotti, HTC ha recentemente inserito un software – sviluppato autonomamente – che raccoglie un gran numero di informazioni sul dispositivo e sulle attività espletate. Conosciuto con l’appellativo di htclogger, il software sarebbe stato pensato per aiutare gli sviluppatori nell’individuazione e nella risoluzione dei bug.
Secondo i tre ricercatori, però, l’utilizzo di un’applicazione come htclogger, in grado di “tracciare” una vasta mole di dati, andrebbe permesso solo all’utente oppure essere resa disponibile solo a determinati servizi dotati dei privilegi più elevati. Invece, può accadere che qualunque applicazione installata sul dispositivo che richieda semplicemente il permesso android.permission.INTERNET
ossia il diritto di accedere ad Internet (si tratta del comune permesso indispensabile per garantire il funzionamento di qualunque programma necessiti di colloquiare con un server remoto), possa “mettere le mani” sulla lista degli account utente (compresi indirizzi e-mail e stato della sincronizzazione), sull’ultima rete di comunicazioni utilizzata, sulle più recenti coordinate GPS, sugli SMS (compresi numeri di telefono e testi codificati) nonché sui log di sistema.
Non solo. Stando a quanto dichiarato da Russakovskii ponendo sotto la lente il comportamento di un suo HTC EVO 3D, i dati accessibili includerebbero molte altre informazioni in più. Tra di esse, i testi relativi ai messaggi di notifica via a via visualizzati, le caratteristiche della rete e gli indirizzi IP, l’elenco dei processi in esecuzione, la lista delle applicazioni installate, dei fornitori di contenuti, delle variabili e delle proprietà di sistema e così via.
Il software htclogger dispone di una vera e propria interfaccia che non è protetta nemmeno con un’accoppiata nome utente – password: il semplice comando :help:
, spiega Russakovskii, consente di ottenere una lista completa delle funzioni disponibili.
I tre ricercatori auspicano un tempestivo intervento da parte di HTC per risolvere una problematica che potrebbe rivelarsi estremamente pericolosa per gli utenti: la semplicità con cui un’applicazione “malevola” può sottrarre informazioni personali è infatti disarmante.