個人情報などを任意のアプリが読み取り可能な脆弱性、HTC 製 Android スマートフォンで発見される

　headless 曰く、

　HTC 製 Android スマートフォンの一部で、任意のアプリが個人情報などを読み取り可能な脆弱性が発見されたとのこと (Android Police のブログ記事、threatpost の記事、本家 /. 記事、本家 /. 記事 (その2)) 。

　HTC は最近のアップデートでトラブルシューティング用のデータを収集するアプリ (HTCLoggers) を追加したが、収集したデータを保存するファイルに適切な権限が設定されていないという。そのため許可された権限とは関係なく任意のアプリがデータを読み取れる状態になっており、インターネットアクセスの許可されたアプリでは読み取ったデータを送信することも可能となる。

　HTCLoggers が収集する主なデータは、端末に登録されたユーザーアカウント情報や通話履歴、ユーザーの位置情報、エンコードされたテキストを含む SMS データ、システムログなど。ハードウェア / ソフトウェア情報なども含まれるという。影響を受ける端末は、EVO 3D、EVO 4G、Thunderbolt ほか。国内販売モデルが影響を受けるかどうかは不明だ。なお、Android Police ではチェック用のアプリを提供しており、ユーザーから報告された端末もリストに追加されている。

　ちなみに、本家 /. ではこのネタを 2 日続けて掲載してしまい、ゆるく突っ込まれていた。

　スラッシュドットのコメントを読む | モバイル | セキュリティ | mainpage | 携帯電話 | Android | 情報漏洩