HTC製 Android スマートフォンに情報漏洩の脆弱性が発覚、HTCは近日中にセキュリティーアップデートを提供すると発表

Security Vulnerabilities On HTC Android Devices

海外 Android 関連情報サイトの「Android Police」が10月1日、HTC製 Android スマートフォンに個人情報流出脆弱性があると発表。10月4日、HTCは通常使っている分には問題の無いものだが近日中にセキュリティーアップデートを提供すると発表。

海外 Android 関連情報サイトの「Android Police」や IT情報を扱う「Slashdot」で HTC Android スマートフォンに関する情報漏洩が発表されています。この脆弱性を突いた悪質なアプリをインストールすると、メールアドレス、GPSのロケーション情報、電話番号、テキストメッセージのデータなどにアクセスされる恐れがあるとの事。HTC Android スマートフォン「EVO 3D」「EVO 4G」「Thunderbolt」で確認され「Sensation」のシリーズにも可能性があるという。

「Android Police」は9月24日にHTCにこの脆弱性を報告したが5営業日たっても HTC から返答がなかったため、この情報の公開に踏み切ったとしている。この脆弱性は、HTC が Android プラットフォームに独自のロギングツールを追加したことによるもので、通常のロギングツールでは、アプリはユーザーが許可したデータにしかアクセスできないが、このツールでは上記のようなデータに無許可でアクセスできてしまう。

んー KDDI au から「HTC EVO 3D ISW12HT」が発売されるだけに気になるニュースですね HTC には迅速な対処と、誠実な対応を行って欲しいです。 (><

■ 追加情報 2011年10月4日
HTC は今回の情報漏洩の脆弱性に関して声明を発表。

HTC takes claims related to the security of our products very seriously. In our ongoing investigation into this recent claim, we have concluded that while this HTC software itself does no harm to customers’ data, there is a vulnerability that could potentially be exploited by a malicious third-party application. A third party malware app exploiting this or any other vulnerability would potentially be acting in violation of civil and criminal laws. So far, we have not learned of any customers being affected in this way and would like to prevent it by making sure all customers are aware of this potential vulnerability.

HTC is working very diligently to quickly release a security update that will resolve the issue on affected devices. Following a short testing period by our carrier partners, the patch will be sent over-the-air to customers, who will be notified to download and install it. We urge all users to install the update promptly. During this time, as always, we strongly urge customers to use caution when downloading, using, installing and updating applications from untrusted sources.

簡単ですが訳、HTCのスマートフォン単体で情報を漏えいすることは無いものの、危険性はあると断定。ユーザからこの問題による被害の報告は受けていないが影響を受ける端末に対して近日中にセキュリティアップデートを提供するとしています。「提供元が不明な怪しいアプリケーションはインストールしないよう」にと注意しています。

■ 追加情報 2011年10月7日
日本国内の対応に関して、KDDI はHTC製スマートフォン2機種「ISW11HT」と「ISW12HT」に対してセキュリティー強化のアップデートを実施。これにより、懸念されていた情報漏洩脆弱性の対応が完了したと思われます。

HTC issues statement on Sense security flaw, says patch coming soon – BGR
http://bgr.com/2011/10/04/htc-issues-security-patch-coming-soon/

Massive Security Vulnerability In HTC Android Devices – Android Police
http://androidpolice.com/2011/10/01/massive-security-vulnerability/

Security Vulnerabilities On HTC Android Devices – Slashdot
http://yro.slashdot.org/story/11/10/02/Security-Vulnerabilities-On-HTC-Android-Devices

HTC製Android端末に個人情報流出の脆弱性発覚 – ITmedia
http://itmedia.co.jp/news/articles/1110/03/news019.html