42 reacties | 
Vandaag heeft Androidwebsite Android Police een artikel gepubliceerd over een flinke beveiligingsfout in HTC-toestellen. Het gaat om logbestanden die HTC opslaat op je telefoon, maar die makkelijk in te lezen zijn door kwaadwillenden. Niet elk toestel is onveilig, maar er is een programmaatje om dit te testen. Lees verder voor meer details.
Logbestanden
Na een speurtocht van Android Police en twee ontwikkelaars is gebleken dat HTC logbestanden bijhoudt op je telefoon met Sense, om wat voor reden dan ook. Met behulp van het bestand HtcLogger.apk, houdt HTC allerlei dingen bij over je telefoon. Er is ook een bestand aanwezig, androidvncserver.apk, waarmee in theorie je telefoon op afstand bestuurd kan worden door HTC.
De logbestanden die HTC bijhoudt, bevatten onder andere:
- Een lijst met je accounts
- GPS-locaties
- Telefoonnummers uit je belgeschiedenis
- SMS-gegevens met telefoonnummers en gecodeerde tekst
- Systeemlogs, waarin mogelijk e-mailadressen en telefoonnummers verwerkt zitten
Nu zou dit niet zo’n ontzettend probleem zijn, ware het niet dat de logbestanden niet goed beveiligd zijn. Met een simpele permissie, android.permission.INTERNET, kan een app al toegang krijgen tot de bestanden. Elke app die ook maar iets met internet doet heeft deze permissie.
Na wat dieper gegraven te hebben, werd nog gevonden dat in de logbestanden bijvoorbeeld ook IP-adressen werden bewaard. Ook informatie over je telefoon, zoals buildnummer, kernelversie, info over de CPU, lopende processen, systeemeigenschappen en nog meer wordt bewaard. Android Police beweert dat het met behulp van de beschikbare informatie mogelijk is om een toestel te “klonen”.
Android Police heeft ondervonden dat de EVO 3D, EVO 4G (niet in Nederland beschikbaar) en de Thunderbolt (niet in Nederland beschikbaar) de logbestanden aanmaken. Van andere toestellen is het nog niet bekend. Het zou goed kunnen dat er binnenkort nog meer wordt ontdekt, want ze zijn er nog mee bezig.
Zelf testen
Uiteraard is alles wat hier boven staat niet wenselijk. Om die reden is er een kleine app gemaakt die test of je HTC-toestel (met Sense) ook de logbestanden bijhoudt. De app kan je downloaden via deze link. Om deze te installeren moet je apps van vreemde afkomst toestaan (Instellingen > Apps > Onbekende bronnen). De app vraagt enkel om de internetpermissie, zoals eerder beschreven. Met behulp van de app kan je opdrachten sturen naar de tool van HTC, zoals bijvoorbeeld :dumpsys:. Als de tool aanwezig is, krijg je een logbestand te zien. Trevor Eckhart, die mee heeft geholpen met de ontdekking, heeft een video gemaakt met een demonstratie:
De oplossing
Wanneer je je toestel volledig standaard gebruikt, is er op dit moment geen oplossing. Slechts door te rooten kan je het logprogrammaatje van HTC verwijderen. Het bestand is te vinden in /system/app/HtcLoggers.apk.
Trevor heeft een week geleden al contact opgenomen met HTC, maar er is een week geen duidelijk antwoord gegeven. Om die reden is de fout nu naar buiten gebracht, zodat deze de aandacht krijgt. Hopelijk komt HTC binnenkort met een oplossing.
Het is altijd belangrijk om goed op te letten wat je installeert. Installeer apps altijd via de Android Market en alleen als deze veilig lijken.
Bron: Android Police
Share Us:       | Follow us:  |
Ach geen problemen hier mee htc doet maar.
Het punt is niet dat de gegevens verzameld worden, maar dat vrijwel elke app erbij kan.
Ach ja totdat iemand achterhaalt wat de VNC gegevens zijn. Dan is je toestel over te nemen.
Of wellicht als de logs van je naar buiten komen?
HTC en GOOGLE ,heb 2 woorden voor jullie:SAFETY FIRST.ben gelukkig veilig!!!
htc moet een update geeven
Getest en ik ben veilig. HTC nexus one! Trouwens heel schandalig dat dit mogelijk is…
Het gaat om toestellen die Sense gebruiken
Ah neee….
http://ragefac.es/72
“installeer alleen apps uit de androidmarket en alleen als deze veilig lijken” is het dan niet zo dat elke app van de market gewoon goed is??
Niet altijd. Controle in de Android Market vindt achteraf plaats. Dit geeft iedereen de mogelijkheid om een app te uploaden, maar heeft ook nadelen voor de veiligheid. Het is al meerdere keren voorgekomen dat Google een kwaadaardige app heeft moeten verwijderen uit de Market.
Ok, weet ik dat ook weer
dank.
google zou niet elke app moge toelaten, te veel rommel! + eerst controloren en dan pas…
Dat is nu niet het punt. Het gaat erom dat HTC een flinke beveiligingsfout heeft gemaakt.
Bij mij blijft de poort op 0 staan en vindt de app helemaal niets. Hij heeft wel internet toegangsrechten. Wat gaat er verkeerd?
Dan ben je veilig
Bij mij op een HTC Sensation blijft ook de poort op 0 (nul) staan. Handmatig een andere poort instellen gaat niet.
hmmm ?:
hoe ken je m openen (die app) want wil m op mn legend testen
Installeer Astro File Manager, download de app, en klik dan op de apk. Dan wordt hij geïnstalleerd.
Yeah mn legend is safe
mooie grap van jullie..
eerst een app via een link aanbieden.. mensen unknown sources laten aanzetten.. en dan roepen dat ze alleen apps uit de market moeten installeren.. en dan nog voorzichtig moeten zijn.
Ik wilde nog toevoegen.. geef in ieder geval het advies om die unknown sources na installatie ook weer uit te zetten
Dit is dan wel een veilige app. En je kan Unknown Apps daarna eventueel uitzetten, toch?
Apps -» Sources
Zeker.
Maar als lezers het niveau hebben dat je ze moet uitleggen dat ze unknown sources moeten activeren, dan is dat niet zo vanzelf sprekend..
Dat is niet erg, of slecht, of dom.. begrijp me niet verkeerd.. maar gewoon “onervaren”
Op dezelfde manier dat virussen en phisingmails door onervarenheid bijna altijd succes hebben.. enfin U begrijpt het wel denk ik.
De bron code is bij geleverd, dus als je het niet vertrouwd kun je de code zelf controleren en dan zelf compileren.
kan iemand in het nederlands zeggen wat je moet doen, bij mij staat er connection refused.
Dan is er niks aan de hand
De Sensation maakt deze logs ook aan. Is overigens echt al maanden bekend en in custom ROM’s ook al lang gepatched.
krijgen we dit weer!
zo veel van dit soort berichten gehad in de afgelopen jaren!
laat ze maar doen met de info die ze vergaren, ik val toch weg in de miljoenen mensen waarvan ze de ervaring krijgen
Daar komt bij dat we veel te lomp zijn geworden in het afkeuren van dit soort dingen. Vergeten we de mogelijkheid niet dat HTC de informatie daadwerkelijk gebruikt voor het verbeteren van zijn software, en de remote control alleen om support te kunnen bieden?
Dat er een lek in zit is kwalijk, maar we slaan keihard door tegen dit soort logging activiteiten.
Dit artikel is bedoeld om de beveiligingsfout onder ogen te brengen.
Vandaar ook mijn 2e alinea: “Dat er een lek in zit is kwalijk, _maar_”.
Dat las ik, maar ik kreeg het idee dat je vindt dat het artikel zich teveel op het loggen richt
Het punt is niet dat HTC deze gegevens verzamelt, maar dat elke app met internet rechten deze data kan lezen/versturen…
HTC valt vooral te verwijten dat ze onzorgvuldig omgaan met de bescherming van onze gegevens.
@JAVE: Weet ik. Lees mijn post en reactie op Yorik dan ook..
“Daar komt bij dat” en “.. is kwalijk, maar”.
Getest op mijn HTC Desire Z gekocht in december 2010, niks aan het handje!
Geen htclogger.apk of androidvncserver.apk op het toestel aanwezig! De (htc security tool) geeft ook een refused connection aan of te wel… Mijn HTC toestel is veilig!
Vooralsnog dient ieder voor zich alvorens bij het installeren van een app de rechten etc. Te bekijken! Zijn die ok? Installeer dan, ik heb zelf 2 security tools lopen (bitdefender mobile security en android app security) nooit geen problemen met me toestel… Apps download ik tevens via blapkmarket.com “ook betaalde apps”
euhm yorick mensen zijn vrij om te zeggen wat ze willen… en gij zijt niet de juiste persoon om mensen daarop te wijzen.
??? Waar doel je precies op?
HTC Flyer is veilig. Net getest.
Ik heb het gestest op mijn Sensation niks aan de hand. En download ook uit blafmarket. En heb ook HTC Sense aanstaan dat ik mijn telefoon kan terug vinden. Bij mij staat er connection refused en blijft op 0 staan. Dus ik ben veilig,bij mij draait er avg pro en Netqin security.
Kan het ook zijn dat niet alle telefoons deze APK hebben? Ik heb namelijk de HTC Desire Sense.
Heb even met de app Andexplorer gekeken in /system/app/. En daar staat HtcLoggers.apk er niet tussen. Mijn telefoon is niet geroot..