Le blog Android Police a repéré une faille au sein de l'interface HTC Sense. Ainsi, une application demandant au mobinaute de pouvoir accéder à Internet enverra la commande android.permission.INTERNET. Généralement l'application doit accéder au réseau pour mettre à jour le contenu, pour retourner de la publicité ou par exemple dans le cas d'un jeu, pour soumettre son score sur différents réseaux communautaires. Il semblerait cependant que l'interface de permission proposée par HTC (HTCLoggers.apk) présente un bug.
En effet, après avoir mené une enquête, Android Police rapporte alors que cette permission pour un simple accès à Internet autoriserait par la même occasion l'accès aux informations du compte utilisateur, aux numéros de téléphone du journal d'appel, aux SMS (chiffrés) ou à une historique des positions géographiques du smartphone extraites de la puce GPS. Il semblerait que le développeur puisse également avoir accès à un tas d'autres informations comme la zone de notifications, les versions du système, du bootloader ou du kernel, les informations relatives aux réseaux, au CPU, à la batterie ou à la mémoire ou encore à une liste des applications installées sur le smartphone.
Contacté par Android Police, HTC affirme avoir ouvert une enquête sur ce bug qui toucherait notamment les HTC EVO 4G, EVO 3D et Thunderbolt. Retrouvez de plus amples informations techniques ainsi qu'une vidéo de démonstration sur cette page.
