Ce n'est pas tant Android qui est en cause, mais « HTCLogger », un firmware propriétaire de journalisation utilisé par les développeurs de HTC pour traquer les bogues.
Les modèles Evo 3D, Evo 4G et Thunderbolt sont touchés depuis l'introduction d'un ensemble d'outils de journalisations sur une récente mise à jour du système.
Des outils qui collectent des informations, « beaucoup trop d'informations », sans les sécuriser d'après les dires de Justin Case et Artem Russakovskii dans un rapport publié sur Android Police.
Les téléphones de la lignée Sensation et d'autres modèles présents ou à sortie imminente pourraient être affectés, toujours selon le rapport.
Le problème serait resté dans l'ombre si les chercheurs n'avaient pas découvert que toute application disposant du privilège « android.permission.INTERNET » (banal, et accordé à toute application nécessitant l’accès aux Web ou à une régie publicitaire) pourrait lire et dérober :
Tous les comptes utilisateurs avec adresse email et le statut de synchronisation de chacun; la liste des derniers réseaux et dernières positions GPS, et l'historique récent des localisations; les numéros de téléphone à partir des logs, des informations sur les SMS et leur contenu chiffré, ainsi que les logs du système.
Case et Russakovskii ne cachent pas leur accablement de découvrir une faille si facilement exploitable. « Je reste sans voix », sur ces mots commence Russakovskii sa diatribe.
Les applications n'ont qu'à établir une connexion à un port local pour se servir des informations journalisées.
Les chercheurs, qui affirment n'avoir reçu aucune « réponse réelle » de HTC après 5 jours ouvrables, recommandent la suppression immédiate du paquet /system/app/HtcLoggers.apk.
Source : Android Police
Et vous ?
Qu'en pensez-vous ? 
Envoyé par nirgal76
