På Android blogsiden – http://www.androidpolice.com/– dokumenteredes i går, Mandag, en lang række omfattende sikkerhedshuller i HTC android enheder. Der er dog ikke noget nyt i at sikkerhedshullerne eksisterer, og der ikke bliver gjort noget for at stoppe dem.
Men det er første gang de reelt minutiøst dokumenteres – og samtidig udstiller at verdens største producenter af mobilløsninger kender problemerne og ikke ønsker at lukke dem, da det faktisk er en rigtig god forretning at brutalt misbruge folks data, nu de alligevel ikke brokker sig. Samtidig er det faktisk sørgeligt hvor lidt teleselskaberne gør ved sagen.

Eksempler på det uregistreret misbrug kan eks. vis læses i ”The Wall Street Journal” Der efter at have analyseret de 101 mest udbredte smartphone app’s i USA, kunne påvise omfattende overskridelser af den personlige datasikkerhed, der dog med US. øjne ikke er så slemt, da holdingen generelt ”over there” er at den der finder og registrere data, også har ret til dem. (se eks. Facebook og deres, med europæiske øjne, misbrug af personlige data – eks. fra ComputerWorld). Endnu være er det vel så, når selve mobilproducenten installere overvågningsværktøjer til omfattende profil og brugerlogning uden brugerens viden på telefonen.

Holdningen hos flere af de telefolk Mobile advisor har været i kontakt med, mener, på trods af det meget omfattende materiale der findes på området, at problemet enten ikke eksisterer, eller også at det er oppustet eller nærmest opdigtet af sikkerhedsselskaberne.
Der er også parten i den fortløbende sikkerhedsdiskussion der opgivende spørger, hvorfor skal vi i det hele taget skal håndhæve en ellers rimelig velbeskyttende, men måske lettere forældet persondatalovgivning, når hverken myndigheder eller teleselskaber rent faktisk foretager den påkrævede beskyttelse, i den personlige og internettets friheds hellige navn. Og vi er jo selv uden om det, når vi bruger smartphones, og siger okay, til at vi godt vil kunne bruge app’en, vi lige har betalt for, online….

Artiklen
Det efterstående er baseret på Androidpolice bloggen, der trods sit amerikanske islæt, beskriver en række relevante sårbarheder og decideret datamisbrug, der burde få os Europæere op af stolen, og hen og smide HTC’en i skraldebøtten.. eller i hvert fald bruge enheden med voldsom omtanke fremover.

Sårbarheden
I de seneste opdateringer til nogle af sine enheder, introducerede HTC en suite af logningsværktøjer, der indsamlede omfattende mængder information om brugeren og enheden. Uanset hvad årsagen måtte være, om det er for bedre at kunne forstå problemer på enhederne, eller lettere at kunne foretage analyse eller måske bare erhvervsmæssig misbrug af laveste fællesnævner. Så er det et problem af omfattende dimensioner. Når man, som virksomhed, planter disse informationsloggere på en enhed, for så må du hellere være DAMN sikker på at informationerne, er tilstrækkeligt sikret og man eks. i Europa ikke opdager det.

Det er nu en gang ikke tilfældet. For hvad Trevor fra Androidpolice har fundet, er helt sikkert kun toppen af isbjerget, det man vel mest kan betegne som en smutter
Men ser vi tilbage på The Wall Street Journal bloggen, underbygges det så også af, at i øjeblikket er det sådan, at hvilken som helst app, der anmoder om android.permission.INTERNET (hvilket faktisk er helt normalt for apps, der forbinder til internettet eller viser annoncer) får også adgang til:
• Liste over brugerkonti, herunder e-mail adresser og hvad er synkroniseringsstatus for hver af disse konti
• Sidst kendte netværks og GPS position og en begrænset historik på tidligere positioner
• Telefonnumrene fra telefonens log
• SMS-data, inkl. tlf. numre og kodet tekst (der sandsynligvis kan dekodes)
• Systemets logfiler (både kernel/dmesg og app/logcat), hvilket omfatter alt hvad der angår aktive apps, og med stor sikkerhed e-mail adresser, telefonnumre og andre private oplysninger.

Normalt er det sådan at applikationer kun får adgang til de specifikke tilladelser, de anmoder om, så når du installerer et simpelt, uskyldigt udseende nyt spil fra markedet (det kunne være Angry Birds), som kun beder om INTERNET tilladelse (til at indsende scores online), så forventer du nok ikke at, at programmet faktisk lige videresender din kontaktliste, eller læser din telefon log eller e-mails, og så videresender dit brugernavn og password.
Men det stopper ikke der. Efter at have kigget på den enorme mængde af data (logfilen blev 3,5 MB på en EVO 3D), som er sårbar over for programmer der udnytter denne sårbarhed hele dagen, så fandt Trevor fra Androidpolice følgende data der også blev eksponeret (hvoraf nogle allerede kan være tilgængelige for alle apps via Android API’er)

• Aktive meddelelser i anmeldelsesbaren, herunder underretningstekst
• Build-nummer, bootloader version, radio-version, kerne-version
• Netværksinformation, herunder IP-adresser
• Det fulde hukommelse info
• CPU-info
• Filsystem information og fri plads
• Kørende processer
• Nuværende øjebliksbillede / stacktrace af ikke kun hver aktive proces, men hver tråd
• Liste over installerede programmer, herunder tilladelser der er brugt, bruger-id, versioner og meget mere
• Systemet egenskaber / variabler
• Aktive broadcast-lyttere og historik af tidligere modtaget udsendelser
• Aktuelle indholdsleverandører der er aktive
• Batteriinfo og status, herunder opladning / aktivering og lås igen, historie
Og meget mere

Når man taler generelt om misbrug af persondata – Er dette vel den ultimative lærebog i hvordan man nok ikke skal gøre det… eller gøre det, så længe det ikke opdages.

Det værste er vel, at grunden til hullet bliver opdaget, er fordi HTC har indført deres omfattende snagen i vores personlige data op på den måde, de nu en gang har. Der er som, at efterlade nøglerne under måtten og så forvente at dem der finder nøglerne, ikke låser døren op

Konsekvenserne af alt dette, kan ende med at blive ubetydelig, da det alligevel ikke kan nytte, men vi vil endnu engang påpege at Smartphones og deres App’s ikke er lavet af engle eller for vores blå, grønne eller brune øjnes skyld, og de i deres nuværende udformning, dagligt overtræder persondatalovgivningen i en voldsom omfattende grad.
HTC har nu besluttet at tilføje en app kaldet androidvncserver.apk til deres Android OS installationer. Hvis du ikke er bekendt med definitionen af VNC, det er dybest set en fjernadgangsserver. På EVO 3D, var muligheden til stede fra starten og er opdateret i de seneste OTA. Sådanne apps bør ikke komme i telefonerne som standard, for hvem ved hvad og hvem der kan udløse det og potentielt få adgang til telefonen via fjernadgang!
For en dybere teknisk forklaring, forsæt med at læse på www.androidpolice.com.

Kan man lukke hullet
Det er ikke muligt uden enten en root eller opdatering fra HTC. Hvis du røre root’en, anbefaler det at fjerne Htcloggers (du kan finde det på / system / app / HtcLoggers.apk).
Du kan også prøve den mere sikre vej, og gøre som telestyrelse og mobilselskaber anbefaler og ikke downloade mistænkelige apps, :o) hvem de så end er fra. Men som bevist, så kan selv meget udbredte og kvalitativt gode og velkendte apps lydløst indfange og videresende data, selv om muligheden for dette, selvfølgelig er potentielt lavere.

HTC svar på alt det her.
Da han havde fundet sårbarheden, kontaktede Trevor Eckhart HTC 24. september i år og modtog ingen reel respons over de næste fem hverdage, hvorefter han frigav oplysningerne til offentligheden. Og det er vel almindelig erfaring, at belysning sætter som regel gang i tingene så de bevæger sig lidt hurtigere, hvilket er grunden til de fleste afsløringer i sikkerhedsbranchen. (Det er her vi kommer ind)

Så vidt vides, er HTC nu ved at se på problemet, men er endnu ikke kommet med en udmelding.
Artiklen i sin helhed, kan læses på Android Police bloggen Massive Security Vulnerability In HTC Android Devices og også herfra – stor tak til Trevor Eckhart der fandt sårbarheden Justin Case der har været med til at grave dybt i sagen og ikke mindst Artem Russakovskii for at samle artiklen vi tog udgangspunkt i.