Przejdź do głównej zawartości

Ach te smartfony

Na ostatniej konferencji prasowej HTC oznajmiło iż  przygotowało "wtyczkę" pozwalającą w pełni bezpiecznie korzystać w telefonach z systemem Android, z mobilnego dostępu aplikacji do danych osobowych użytkownika.

Wtyczka ta została stworzona po wykryciu przez trójkę naukowców luki w oprogramowaniu HTC,  pozwalającej na wystawienie adresu e-mail, sieci i pozycji miejsc GPS, numerów telefonów, danych SMS i loginów do aplikacji, które łączą się z Internetem.

Luka ta została zidentyfikowana głównie w HTC z systemem Android, w tym Evo 3D, 4G Evo i Thunderbolt oraz ostatnich zainstalowanych aktualizacjach oprogramowania.

W oświadczeniu wydanym przez HTC dokładnie przedstawiono zidentyfikowaną lukę bezpieczeństwa w oprogramowaniu jednocześnie uspokajając obecnych użytkowników: "W HTC przywiązuje się ogromną wagę do bezpieczeństwa naszych produktów. W przeprowadzonym przez nas śledztwie, doszliśmy do wniosku, że samo oprogramowanie HTC nie szkodzi jego użytkownikom, istnieje luka, która potencjalnie mogłyby zostać wykorzystane przez złośliwe aplikacje innych firmy." podała spółka w oświadczeniu. "Do tej pory nie otrzymaliśmy żadnego zgłoszenia ze strony klientów o jakimkolwiek negatywnym wpływie naszego oprogramowania. Jednak bierzemy za nie pełną odpowiedzialność, aby w przyszłości zapobiec potencjalnym podobnym sytuacjom."

Firma również próbowała przekonać swoich użytkowników, że cały czas trwają prace nad intensywnym rozwojem i przeciwdziałaniem zauważonej wadzie. 

Nie zawsze jednak jest tak różowo. Bardzo często dzieje się tak, że firma nie jest w stanie sama odnaleźć błędu w swoim oprogramowaniu. Dlatego tak ważny jest stały kontakt z "end-userami", ponieważ bardzo często są oni najcenniejszym źródłem wiedzy o produkcie i jego potencjalnych lukach i wadach". Przecież kto nie popełnia błędów - nic nie robi!

"HTC pracuje bardzo sumiennie, aby szybko wydać aktualizację zabezpieczeń, która rozwiąże zaistniały problem w taki sposób aby w przyszłości już nigdy nie było podobnych sytuacji" ogłasza firma i zapowiada: "Po krótkim okresie testów przez naszych partnerów, poprawka zostanie
wysłana do klientów, którzy zostaną powiadomieni o konieczności jej pobrania i zainstalowania. Namawiamy wszystkich użytkowników, aby natychmiast zainstalowali aktualizację. W tym czasie, apelujemy do klientów o zachowanie szczególnej ostrożności podczas pobierania, używania instalacji i aktualizacji aplikacji z niezaufanych źródeł."

Jednakże Artem Russakovskii, jeden z badaczy, którzy odkryli lukę i jako pierwszy przedstawił wstępne wnioski na temat polityki bezpieczeństwa AndroidPolice nie był do końca zadowolony z takiej a nie innej odpowiedzi HTC. W swojej wypowiedzi na temat AndroidPolice, stwierdził, że "docenia" próby HTC, aby rozwiązać problem, ale zastanawia się, czy nie wystarczy skonfigurować po prostu jakiegoś rodzaju "systemu uwierzytelniania", który nadal pozwoli używać danych osobowych, jednak bez odsyłania ich do serwerów HTC lub providerów komórkowych. 

"Ponadto, chciałbym poprosić o wyjaśnienie, co Android serwer VNC, który umożliwia zdalny dostęp, robi na zaatakowanych urządzeniach", dodał Russakovskii. I przytacza szereg innych usług dostępnych na urządzenia HTC, które jego zdaniem mogą być również narażone na brak właściwych mechanizmów bezpieczeństwa. 

Jakoś tutaj mam swoje przemyślenia :D
Nawet w przypadku czołowych producentów oprogramowania nigdy nie możemy mieć 100% pewności co do zachowania wszystkich standardów i procedur bezpieczeństwa. Dlatego tak ważne jest abyśmy pamiętali o podstawowej profilaktyce dbania o bezpieczeństwo naszych komputerów. Zgadzacie się z tym?

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…