Des chercheurs ont découvert une sérieuse menace de sécurité sur plusieurs modèles de smartphones HTC sous Android. Cette porte dérobée (backdoor) ouvre aux applications installées l'accès à diverses informations privées et sensibles de l'utilisateur.

Cette fois, contrairement aux autres failles découvertes sur des smartphones Android comme celle du calendrier Android, l'OS n'est pas en cause mais plutôt l'outil "HTCLogger", introduit par HTC pour gérer la journalisation et traquer des bogues.

Les modèles touchés seraient le Evo 3D, Evo 4G ainsi que le Thunderbolt, via une récente mise à jour de leur système. Cependant, l'outil étant introduit par HTC dans une récente mise à jour, on peut s'attendre à ce que les futurs smartphones de la même marque comprennent le même programme et soient ainsi également vulnérables.

L'outil en cause, HTCLogger, collecterait, selon Justin Case et Artem Russakovskii, différentes informations, « beaucoup trop d'informations », sans les sécuriser. Ces informations, parmi lesquelles on peut citer la localisation GPS, les adresses e-mails des comptes configurés sur le téléphone, les numéros des contacts à qui ont été envoyés des SMS ou vers qui des appels ont été passés, seraient alors lisibles par n'importe quelle application disposant des droits "android.permission.INTERNET" (soit, en d'autres termes, l'accès à Internet). Or, le problème est bien là : ces droits, énormément d'applications les ont, c'est même tout à fait banal pour une application Android (accéder à Internet, rien d'étonnant sur un smartphone), n'importe quel développeur malveillant pourrait d'ores-et-déjà publier une application sur l'Android Market exploitant cette faille sans que les utilisateurs ne se doutent de rien.

La faille en question vient du fait que HTCLogger communique sur un port local de manière non sécurisée, l'application malveillante n'a alors qu'à établir une connexion à un port local pour se servir des informations journalisées.

Les chercheurs, qui affirment n'avoir reçu aucune "réponse réelle" de HTC après 5 jours ouvrables, recommandent la suppression immédiate du paquet /system/app/HtcLoggers.apk.

Démonstration (en anglais) de l'exploitation de la faille de sécurité en vidéo :