En recientes actualizaciones proporcionadas por HTC para varios de sus dispositivos, el fabricante Chino ha introducido una suite de rastreo de datos que registra múltiple información sobre el usuario. El equipo de Android Police, ha descubierto que esta suite, en realidad posee un serio agujero de seguridad que expone data privada a practicamente cualquier aplicación que la solicite, exponiendo información tan privada como la libreta de contactos, direcciones de email, SMS, entre otros.

El problema está presente sólo en ciertos dispositivos HTC, como el EVO 3D, EVO 4G, Sensation, Thunderbolt, y otros. El listado de dispositivos afectados aún no es definitivo. Estos modelos están registrando data privada como direcciones de email, mensajes de texto, localización, números telefónicos y logs del sistema, gracias a la última actualización de software que HTC lanzó para los estos modelos. El hecho de que HTC esté registrando información es grave en sí, pero lo más preocupante es que HTC ha dejado esta data desprotegida para que cualquier aplicación que se conecte a Internet pueda leerla. Esto permite a cualquier desarrollador escribir una aplicación que se aproveche de esta vulnerabilidad. Android Police considera que es tanta la información expuesta, que sería posible clonar tu dispositivo.

Aparte de las vulnerabilidades mencionadas anteriormente, el siguiente es un listado de toda la información comprometida:

• Notificaciones activas en la barra de notificaciones
• Número de construcción, bootloader, versión, versión del radio, versión de kernel
• Información de la red, incluyendo dirección IP
• Información completa de la memoria
• Información del CPU
• Información del sistema de archivos y espacio libre en cada partición
• Procesos activos y aplicaciones activas
• Rastro de migas de todos los procesos activos
• Listado de aplicaciones instaladas, incluyendo permisos, usuarios, versiones y más
• Propiedades del sistema, variables
• Lista activa de transmisores y historial de transmisiones recibidas
• Proveedores de contenido activos
• Información de la batería, estado, incluyendo historial de carga, descarga, e historial de bloqueo del teléfono

¿Qué puedo hacer?

El problema radica en un APK instalado por HTC llamado HtcLoggers.apk. Este APK es el que registra toda la información mencionada anteriormente y la deja expuesta para que cualquiera pueda leerla abriendo un puerto local. Por los momentos no es posible corregirla sin una actualización de HTC. Sin embargo, si posees permisos administrativos (root), lo recomendado es eliminar inmediatamente el HtcLoggers en la ruta /system/app/HtcLoggers.apk. Puedes hacerlo con TitaniumBackup o Root Explorer.

La vulnerabilidad es realmente preocupante y la responsabilidad es enteramente de HTC. Después de ignorar el contacto inicial hecho por el equipo de Android Police, HTC ha finalmente respondido y ha asegurado que trabajará en el problema. Esperemos que el mismo sea resuelto pronto. Informaremos al respecto en cuando exista más información.

Cabe destacar que este problema sólo está presente en los más recientes dispositivos HTC con la última actualización de firmware. Si posees un dispositivo antiguo o uno nuevo con un ROM personalizado, entonces no tienes razón para preocuparte.

[Fuente: Android Police]