Le site Android Police se montre assez dur contre le fabricant HTC, estimant que la faille de sécurité découverte au sein de la surcouche HTC Sense des derniers smartphones Android commercialisés est indigne d'un tel acteur.
En montant un système de collecte des données du terminal mais en ne le protégeant pas suffisamment, le fabricant donne sans le vouloir la possibilité d'accéder assez facilement à un ensemble de données personnelles qui passe par les notifications, les dernières informations de localisation GPS et WiFi; l'historique des appels, les SMS, les applications installées, divers logs...
Android Police incrimine le package HtcLoggers.apk, un élément implémenté par HTC et qui se charge de la collecte de cette grande quantité de données, pour des raisons mal élucidées ( vraisemblablement obtenir un feedback sur le fonctionnement des terminaux ).
Beaucoup de données personnelles accessibles
Le problème est que n'importe qui ( pas seulement HTC ) peut se voir ouvrir un port local via ce package...et siphonner les données collectées sur un serveur distant, à partir d'une simple requête d'accès à Internet au sein de l'OS.
C'est ce qu'a mis en pratique Android Police en tant que preuve de concept ( proof of concept ) pour en montrer la dangerosité. Et le site souligne qu'un correctif ne peut passer que par un patch directement fourni par HTC. Une solution en attendant peut être d'effacer le package en mode root.
Pour le moment, aucun usage de cet accès aux données personnelles n'a été relevé. HTC a été prévenu dès le 24 septembre mais ne semble pas avoir spécialement réagi, conduisant les découvreurs de la faille à en faire une mention publiquement, ce qui devrait forcer une correction plus rapide.
MàJ 04/10 : HTC reconnaît l'existence d'une faille dans sa solution logicielle et avoue qu'un logiciel mal intentionné pourrait l'exploiter pour extirper des données personnelles. Il n'y a aucun élément pour le moment qui suggère que cette faille est exploitée.
Le fabricant indique qu'il prépare un correctif pour les terminaux concernés mais qu'il devra d'abord passer par une certification des opérateurs avant d'être envoyé via les réseaux mobiles. D'ici là, seule la prudence peut protéger les utilisateurs...
