“Estou sem palavras agora”, começa Artem Russakovskii no Android Police, para então descrever uma falha de segurança “enorme” em aparelhos da HTC com Android, que permite acesso a números de telefone, GPS, SMS, endereços de e-mail e mais.

Os dispositivos afetados incluem o Evo, Evo 3D, Thunderbolt e possivelmente outros da HTC, e a falha parece ser tão profunda que os caras do Android Police estão descobrindo novos problemas a cada teste ou exame:

O que o Trevor descobriu é só a ponta do iceberg – ainda estamos indo mais fundo – mas por enquanto, qualquer app nos dispositivos afetados que peça apenas um android.permission.INTERNET (o que é normal para qualquer app que se conecte à internet ou que exiba propagandas) pode obter acesso:

– à lista de contas de usuário, incluindo endereços de e-mail e status de sincronização para cada última rede conhecida, localizações de GPS, e um histórico limitado de localizações anteriores

– números de telefone dos últimos números discados

– dados de SMS, incluindo números de celular e texto codificado (ainda não sabemos se podemos decodificá-lo, mas é bastante possível)

– logs de sistema (tanto kernel/dmesg e app/logcat), o que inclui tudo que seus apps em atividade fazem, o que possivelmente inclui endereços de e-mail, números de telefone e outras informações privadas

Ou seja, mesmo apps que só peçam acesso à internet – que você concede ao instalar o app – podem aproveitar a vulnerabilidade e acessar outras áreas do seu celular, como localização do GPS, logs de sistema, SMS, até estatísticas da bateria. Basicamente, pelo visto quem está usando um Android da HTC corre risco e não sabia. E a única forma de resolver o problema para todos é se a própria HTC enviar uma atualização – ou se você instalar uma ROM customizada, como o CyanogenMod.

Mesmo que você não use os aparelhos da HTC afetados pelo problema, vale saber que o Android sofre de insegurança não apenas através de malware – até a personalização da fabricante lhe sujeita a riscos. [Android Police]