HTC 爆隱私疑雲 Android 手機有漏洞?

Jason | Android
隨著現代智慧手機能作的事情愈來愈多,處理使用者的資訊愈來愈豐富,不時就會有某某系統傳出系統漏洞或是隱私外洩的新聞傳出,在這個重視隱私權的世界,這些新聞通常都會引起不小的議論與關注。繼之前 iOS 與 Android 都傳出會在背景記錄使用者的定位資訊後,最近傳出的是 HTC 的幾款手機也被國外開發者找出有不小的漏洞,在手機中記錄了包括使用者的通話記錄、定位記錄、使用者帳號等等,情況頗為嚴重。


手機更新漏洞
據披露這個漏洞的 Android Police 網站作者 Artem Russakovskii 表示,在 HTC 手機近期的更新中,HTC 導入了一個記錄手機資訊的應用程式「HtcLoggers.apk」,這個應用程式基本上會記錄手機相當多的資訊,包含使用者的帳號、email 地址、帳號更新狀態、最近更新的基地台與 GPS 定位資訊、通話記錄中的電話號碼、編碼過的簡訊內文與號碼(不確定是否可以解碼)、系統記錄檔等等。

不過在這些受影響的手機中,只要應用程式採用了 Android 系統的 INTERNET 權限(當程式需要連網,就會用到這個權限),有心人士就可以輕易存取這些存在手機中的資訊;因此最壞的情況是,駭客可以製作一個普通的應用程式,讓你以為它需要上網,不過其實是去存取你手機中的這些資料,而且因為你已經核准了應用程式的上網權限,所以它還可以把你的這些資料送到網路另一端的伺服器中。

目前,這些漏洞出現在 HTC EVO 4G(台灣未上市)、EVO 3D、Thunderbolt(台灣未上市)、EVO Shift 4G(台灣未上市)、MyTouch 4G Slide(美國版的 Desire Z)、甚至可能存在於 Sensation 上面,但這個漏洞只存在於 HTC 原廠韌體中,如果手機已經重刷成 CynogenMod 之類的自定韌體,就沒有這個問題。

Russakovskii 在文章中說,他已經聯絡過 HTC,提供這個漏洞的資訊,而 HTC 到目前為止還沒有回應,不過他相信 HTC 正在審視這個問題。他也建議,如果上述這些手機的使用者,手機已經有 root 權限的話,最好把 HtcLoggers.apk 這個應用程式移除掉,要不然就是要等 HTC 推出韌體更新來解決這個問題了。


自己檢查有無漏洞
最後,Russakovskii 自己也製作一個驗證漏洞的程式,使用者可以自己下載安裝,看看自己手機上有沒有這樣的漏洞;但想嘗試的話,可能也要自己負擔一些風險,只是這個應用程式也是開放原始碼,所以如果有問題的話,應該會被抓出來就是了。以下是這個應用程式的執行影片,下載地址在最下方的原文網頁中。

//timgm.eprice.com.tw/tw/mobile/img/2011-10/03/4681044/tunacat_1_124_2b0678ede1fecfc85ee697aff4f6c909.jpg





UPDATE: 小編詢問 HTC 關於此事的說法,台灣 HTC 回應如下:
「HTC 非常重視消費者資料的安全性,同時盡速釐清事件的原委。我們將以最快的速度提供更多相關訊息,若此案件查明屬實,也將儘快告知處理步驟。」

Android Police