Une importante faille de sécurité a été découverte dans la dernière mise à jour des téléphone HTC (Android) : une application constructeur permet de centraliser de nombreuses informations personnelles du téléphone, lesquelles peuvent ensuite redistribuer à des applications qui en font la demande. Aucune protection ou authentification n’est nécessaire pour ce « partage ».
C’est le site Android Police qui a lancé l’alerte ce week end : l’application constructeur HTCLoggers.apk, intégrée dans la dernière mise à jour du système, peut récolter beaucoup d’informations personnelles stockées sur le smartphone, y compris en root, puis les transmettre à n’importe quel processus qui en fait la demande, pour peu que celui-ci ait l’autorisation de se connecter à Internet (ce qui doit être le cas de quasiment toutes les applications). Quelles que soient les raisons du développement d’un tel outil, la moindre choses est de demander à l’utilisateur son autorisation et son identification avant le « partage » de ces données ! Ce n’est malheureusement pas le cas ici…
Quelles informations personnelles sont concernées ?
Elles sont très nombreuses et très… personnelles ! Voyez plutôt :
- Liste des comptes utilisateurs, avec leurs adresses mail et statuts de synchronisation
- Derniers réseaux et positionnements GPS connus
- Numéros de téléphones provenant d’appels émis ou reçus
- Données SMS : numéros de téléphone et message cryptés (pouvant probablement être décryptés)
- Propriétés et logs système (kernel/dmesg et app/logcat), c’est à dire l’historique de chaque action applicative
- Informations réseau, comme par exemple l’adresse IP
- Notifications applicatives
- Numéros de version : système, radio, kernel
- Toute l’information mémoire
- Informations processeur
- Dossiers système et espaces disponibles
- Processus en activité
- Liste des applications installées : versions, permissions utilisées, identifiants
- Statuts de la batterie
- Etc.
En résumé, une application ayant seulement une autorisation de se connecter à Internet peut désormais accéder à ces informations centralisées ! Elles sont tellement complètes qu’il serait théoriquement possible de créer un clone du smartphone concerné… Comme si HTC espérait pouvoir cacher la clé de la maison sous le paillasson ou le pot de fleur de l’entrée, en espérant que personne n’ait la brillante idée de regarder dessous… Affligeant.
Quels sont les smartphones HTC concernés ?
La liste complète n’est pas encore déduite à ce jour, mais certains modèles font assurément parties du lot :
- Evo 4G
- Evo 3D
- Thunderbolt
Un fort doute est avéré pour les smartphones suivants :
- MyTouch 4G Slide
- Evo Shift 4G
- Le prochain Vigor
- Quelques modèles de type Sensation
- Et probablement bien d’autres…
Comment protéger ses données personnelles ?
HTC a été contacté une semaine avant l’information au grand public, mais la société taïwanaise est restée muette depuis le début. L’affaire étant maintenant rendue publique, nul doute que leurs plus brillants ingénieurs sont sur le coup !
En attendant, mieux vaut attendre la mise à jour qui corrigera ce trou béant et ne pas télécharger d’application louche, histoire de sauver les meubles. Les utilisateurs les plus avertis peuvent à leurs risques et périls « rooter » leur smartphone en suppriment HTCLoggers (qui se trouve ici : /system/app/HtcLoggers.apk).
En 2011, les smartphones seront certainement beaucoup plus ciblés que les ordinateurs par toutes sortes d’applications malveillantes. L’apparition d’une telle faille sur des smartphones populaires est donc d’autant plus inquiétante…
Sources : Numerama / androidpolice.com
Image : By Christian Lo (HTC Evo 4G) [CC-BY-2.0], via Wikimedia Commons
Aucun commentaire