Detalhes sobre a vulnerabilidade, a lista de itens que ficam expostos indevidamente a aqualquer app que receba permissão de acesso à Internet, e a maneira de violar as restrições do aparelho para evitar a situação enquanto não surgir uma correção oficial estão neste post, cujo conteúdo foi enviado à HTC há cerca de 10 dias.

Os dispositivos afetados incluem ao menos o Evo, Evo 3D e Thunderbolt (possivelmente outros da HTC também)

Via gizmodo.com.br:

O que o Trevor descobriu é só a ponta do iceberg – ainda estamos indo mais fundo – mas por enquanto, qualquer app nos dispositivos afetados que peça apenas um android.permission.INTERNET (o que é normal para qualquer app que se conecte à internet ou que exiba propagandas) pode obter acesso:

- à lista de contas de usuário, incluindo endereços de e-mail e status de sincronização para cada última rede conhecida, localizações de GPS, e um histórico limitado de localizações anteriores

- números de telefone dos últimos números discados

- dados de SMS, incluindo números de celular e texto codificado (ainda não sabemos se podemos decodificá-lo, mas é bastante possível)

- logs de sistema (tanto kernel/dmesg e app/logcat), o que inclui tudo que seus apps em atividade fazem, o que possivelmente inclui endereços de e-mail, números de telefone e outras informações privadas