Des chercheurs en sécurité ont découvert une faille dans plusieurs modèles de smartphones Android HTC qui via une application et un accès à Internet procurerait une mine d'informations sur le téléphone, y compris les adresses e-mail, les données de géolocalisation, les numéros de téléphone et les SMS.

Les modèles de téléphone concernés par cette faille sont les EVO 3D, EVO 4G, Thunderbolt, et probablement la gamme Sensation. Les chercheurs, Trevor Eckhart, Artem Russakouskii, et Justin Case, ont alerté le constructeur le 24 septembre dernier, mais celui-ci n'a pas donné suite. Ils ont donc décidé de rendre public la vulnérabilité.

La faille provient des modifications réalisées par HTC sur les versions du système d'exploitation Android intégrées aux modèles EVO et Thunderbolt et plus exactement à l'ajout d'un outil d'enregistrement, HTClogger. Ces changements donnent la possibilité à toute application qui se connecte à Internet (avec permission) d'avoir accès à une pléthore d'informations sensibles sur l'appareil (les adresses e-mail, les données de géolocalisation, les numéros de téléphone et les SMS). De plus, elle peut également transmettre des données glanées sur le web à votre insu.

« Normalement, les applications vous demandent de vous connecter uniquement pour des requêtes spécifique, donc lorsque vous installez un jeu acheté sur la place de marché Android et que vous autorisez l'accés à Internet (pour soumettre les scores en ligne, par exemple ), vous ne vous attendez pas à lire votre journal d'appel ou la liste de vos e-mails », explique Artem Russakouskii. Il compare cette faille, à la personne qui laisse les clés de sa maison sous le paillasson et pense que personne ne les trouvera.

Une autre application jugée suspecte


En plus de l'outil d'enregistrement, note le chercheur, HTC a également modifié Android avec l'ajout d'une application appelée androidvncserver.apk. Ce programme, qui est conçu pour donner aux tiers un accès distant au téléphone, paraît de prime abord anodin, mais les chercheurs la trouvent « suspecte ». « L'application n'a pas démarré par défaut, mais qui sait ce qui peut la déclencher et potentiellement accéder à votre téléphone à distance ? » s'interrogent les chercheurs.

Selon Trevor Eckhart, il n'existe aucun moyen de corriger cette faille sans jailbreaker les smartphones ce qui annule la garantie. Si vous ne voulez pas pirater l'OS du téléphone, vous pouvez supprimer l'application incriminée, htcloggers.apk, qui se trouve dans / system / app /.