Afluistertool HTC lekt persoonlijke info
Enkele recente smartphonemodellen van HTC bevatten een bug. Daardoor kunnen logbestanden met persoonlijke info uitlekken.
Dat ontdekten beveiligingonderzoekers Artem Russakovskii, Justin Case en Trevor Eckhart. De bug bevindt zich in de diagnosetools die HTC onlangs op de smartphones installeerde samen met de Android 2.3.4-update. Onder meer de EVO 3D, Thunderbolt en Sensation zijn aangetast.
Logbestand met foutmeldingen
HTC ontkende begin vorige maand nog dat het smartphonegebruikers bespioneert via de bewuste diagnosesoftware. Als bij iemand de software – die foutmeldingen en info over bugs verzamelt en uploadt naar de servers van HTC – geïnstalleerd werd, moest hij hier zijn toestemming voor geven.
[related_article id=”158578″]
De smartphonefabrikant ontkende ook dat er in het logbestand info te vinden zou zijn die de identificatie van de eigenaar van het toestel mogelijk zou maken. Dat was een leugen, blijkt nu.
Niet alleen zou HTC in de achtergrond informatie doorsluizen zonder dat daarvoor toestemming werd gegeven, de gegevens die verzameld worden zijn ook allesbehalve anoniem. Uit onderzoek van de bestanden blijkt dat HTC onder meer de e-mail- en IP-adressen, gps-locatie, sms-gegevens en andere persoonlijke info uitleest.
Software is lek
Tot overmaat van ramp ontdekten de beveiligingsexperts dat dit logbestand kan worden uitgelezen door elke app die je toestemming geeft om verbinding te maken met het internet. Wie dit niet gelooft, kan de proof-of-concept-app downloaden (.apk) en nagaan of zijn smartphone ook wordt afgeluisterd.
Naast heel wat uitleg is HTC zijn gebruikers een patch voor het lek in de diagnosetools verschuldigd. De Taiwanese smartphonefabrikant werd op 14 september op de hoogte gebracht van het probleem, maar heeft nog steeds niet gereageerd.
