Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia

Android Police demonstra em vídeo vulnerabilidade nos aparelhos da HTC

Detalhes sobre a vulnerabilidade, a lista de itens que ficam expostos indevidamente a aqualquer app que receba permissão de acesso à Internet, e a maneira de violar as restrições do aparelho para evitar a situação enquanto não surgir uma correção oficial estão neste post, cujo conteúdo foi enviado à HTC há cerca de 10 dias.

Os dispositivos afetados incluem ao menos o Evo, Evo 3D e Thunderbolt (possivelmente outros da HTC também)

Via gizmodo.com.br:

O que o Trevor descobriu é só a ponta do iceberg – ainda estamos indo mais fundo – mas por enquanto, qualquer app nos dispositivos afetados que peça apenas um android.permission.INTERNET (o que é normal para qualquer app que se conecte à internet ou que exiba propagandas) pode obter acesso:

- à lista de contas de usuário, incluindo endereços de e-mail e status de sincronização para cada última rede conhecida, localizações de GPS, e um histórico limitado de localizações anteriores

- números de telefone dos últimos números discados

- dados de SMS, incluindo números de celular e texto codificado (ainda não sabemos se podemos decodificá-lo, mas é bastante possível)

- logs de sistema (tanto kernel/dmesg e app/logcat), o que inclui tudo que seus apps em atividade fazem, o que possivelmente inclui endereços de e-mail, números de telefone e outras informações privadas


• Publicado por Augusto Campos em 2011-10-03

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Porfírio (usuário não registrado) em 3/10/2011 às 2:57 pm

    Eu considero muito positivo esse tipo de trabalho, porque assumo que uma plataforma onde encontramos falhas é preferível a uma onde as falhas (que existem sim, como em qualquer outra), nunca são encontradas.

    Que possamos encontrar mais e mais erros nesse em em outros Linux, cada vez mais cedo e que possamos consertar e distribuir os patches igualmente rápido (a bola agora está com você, HTC).

    Rael Gugelmin Cunha (usuário não registrado) em 3/10/2011 às 5:23 pm

    @Porfírio: pois é, enquanto achar isso é bom no código aberto, nem todo mundo, infelizmente entende dessa modo. Geralmente é o tipo que acha que segurança por obscuridade é a melhor maneira de ficar seguro.

    Rodrigo (usuário não registrado) em 3/10/2011 às 9:07 pm

    Seguranca por codigo aberto é bom quando se tem uma politica de correção e update muito rapida… não é o caso atualmente de celulares… em muitos aparelhos é capaz que esta falha fique conhecida pelo resto da vida util dele

    Porfírio (usuário não registrado) em 4/10/2011 às 10:02 am

    Discordo, @Rodrigo. Com o conhecimento da falha e do código-fonte do sistema (Android 2.x), desenvolvedores podem escrever aplicativos para bloquear a falha de segurança. O sistema como um todo não precisa ser atualizado.

    Rael Gugelmin Cunha (usuário não registrado) em 4/10/2011 às 11:23 am

    @Rodrigo: em plataformas fechadas o update costuma ser muito rápido?

    Porfírio (usuário não registrado) em 4/10/2011 às 12:01 pm

    @Rael, acho que o que o Rodrigo quis dizer é que no modelo proprietário as falhas são escondidas debaixo do tapete, permitindo atualização marcadas para ‘quando Deus quiser’.

    Afinal, se uma árvore cai na floresta mas ninguém viu, ela realmente caiu (antigo Koan budista)?

    Traduzindo: se “ninguém” sabe que a falha de segurança existe, não é uma falha de segurança, certo? Ao menos, esse é o raciocínio proprietário.

    Decio Vanderlei Nogueira (usuário não registrado) em 5/10/2011 às 4:34 pm

    mesmo assim é mais seguro que usar Windows Mobile.

Este post é antigo (2011-10-03) e foi arquivado. O envio de novos comentários a este post já expirou.