Una preoccupante falla di sicurezza è stata individuata nella versione personalizzata del sistema operativo Android impiegata da numerosi smartphone HTC. Secondo PcWorld, il bug potrebbe permettere ad una applicazione opportunamente modificata di accedere ad informazioni personali che comprendono il LOG del sistema operativo, i dati del GPS, l’archivio degli SMS, il registro delle chiamate, i messaggi di posta elettronica e la configurazione del terminale.
La vulnerabilità, individuata dai ricercatori Trevor Eckhart, Artem Russakouskii, e Justin Case, sarebbe legata specificamente ad alcune modifiche apportate da HTC al sistema Android, per cui i terminali di altri produttori non dovrebbero essere a rischio. Più nel dettaglio sembra che quando l’utente autorizza una applicazione ad accedere ad internet questa acquisisca automaticamente anche i diritti necessari per leggere molte altre informazioni presenti sullo smartphone. Il bug quindi consente di scavalcare il meccanismo delle autorizzazioni selettive su cui si basa la sicurezza di Android.
I ricercatori che hanno individuato la falla hanno dichiarato di aver comunicato il problema al produttore già il 24 settembre. Engadget riporta un breve comunicato di HTC in cui si conferma l’esistenza del problema. La società spiega di essere a lavoro per analizzare la situazione anche se al momento non sono stati individuati malware in grado di sfrutta la falla. HTC ha inoltre avviato lo sviluppo di una patch correttiva che sarà distribuita in breve tempo ai partner per poter effettuare i dovuti test di compatibilità. Successivamente dovrebbe avvenire la distribuzione agli utenti finali.
Tra i modelli coinvolti nel problema figurano gli Evo 3D, Evo 4G ed i modelli Thunderbolt. In attesa della correzione, HTC raccomanda ai propri clienti di installare solo applicazioni provenienti da fonti attendibili. In questo senso la distribuzione tramite l’Android Market dovrebbe aggiungere un ulteriore filtro di sicurezza.
[Photo Credits | Sito HTC]