В телефонах компании HTC на базе платформы Android выявлена недоработка реализации отладочного режима, позволяющая любому приложению, имеющему полномочия выхода в сеть, получить доступ к приватной информации пользователя, такой как содержимое адресной книги, история звонков, системные логи, данные об изменении местоположения и архив SMS, не требуя получения специальных прав на выполнение данных операций. Уязвимости подвержены устройства EVO 4G/Shift 4G, EVO 3D, Thunderbolt, MyTouch 4G, Vigor и Sensations.

Проблема связана с поставкой в составе редакции платформы Android от компании HTC дополнительного приложения HtcLoggers.apk, осуществляющего ведение подробного лога всех операций. Изначально данное приложение нацелено на упрощение отладки проблем, но непродуманная организация доступа к логу привела к возникновению серьезной уязвимости: для управления HtcLoggers используются привязанный к интерфейсу loopback сетевой порт, доступ к которому не ограничен для локальных программ. Таким образом, к логу, в котором фигурирует конфиденциальная информация, может получить доступ любое приложение с правами android.permission.INTERNET (например, данные права требуют все программы участвующие в сетях контекстной рекламы).

Обнаружившие уязвимость исследователи, направили уведомление в компанию HTC. Не получив ответа через пять рабочих дней после отправки сообщения, информация об уязвимости была обнародована публично. Для устранения уязвимости пользователям, имеющим root-права на телефоне, рекомендуется удалить файл /system/app/HtcLoggers.apk. Другим пользователям следует дождаться выхода официального обновления.