HTC: Massive Sicherheitslücke aufgedeckt

Daniel Kuhn
10

Ich bin gelinde gesagt schockiert. Die Kollegen und Ordnungshüter von Android Police haben eine riesige Sicherheitslücke auf HTC-Geräten entdeckt, die es ohne großen Aufwand ermöglicht, persönliche Daten wie Telefonnummern, E-Mail-Adressen, GPS-Position und SMS auszulesen.

HTC hat seit einiger Zeit ein Tool auf allen Sense-Geräten installiert, das im Hintergrund munter wichtige Daten sammelt. Der Grund für diese Sammlung ist nicht ganz klar — es könnte dazu dienen, Kundenprobleme gezielter und leichter zu analysieren. Jedenfalls sollte man meinen, wenn es schon ein Tool gibt, das derart private Daten sammelt, dass diese Daten dann zumindest entsprechend stark gesichert werden. Es scheint allerdings, als hätte bei HTC niemand an diese Absicherung gedacht.

Welche Daten sind betroffen?

Jede App, die die Berechtigung android.permission.INTERNET erhält (also jede, die die Internetverbindung nutzt), kann auf folgende Daten zugreifen:

  • Die Liste der Nutzerkonten inklusive E-Mail-Adressen und Synchronisations-Status
  • Den letzten bekannten GPS-Standort und einen limitierten Teil der Standort-Historie
  • Telefonnummern aus der Anrufliste
  • SMS-Daten inklusive Telefonnummern und den Nachrichteninhalt (immerhin wird dieser verschlüsselt gesendet)
  • System Log-Dateien (sowohl kernel/dmesg als auch app/logcat), was alles beinhaltet, was aktuell laufende Apps so treiben (inklusive E-Mail-Adressen, Telefonnummern und weitere private Informationen

Das sind bereits alles Dinge, auf die eine beliebige App, die lediglich auf das Internet zugreift (zum Beispiel ein Spiel, das Spielstände übermittelt) nicht sehen sollen dürfte – das ist aber leider noch nicht alles. Die Log-Datei auf dem getesteten HTC EVO 3D ist stolze 3,5 MB groß und beinhaltet neben den bereits genannten Daten auch noch folgende Informationen:

  • Aktive Benachrichtigungen in der Notification Bar, inklusive Benachrichtigungstext
  • Build-Nummer, Bootloader-, Radio- und Kernel-Version
  • Netzwerkinformationen inklusive IP-Adressen
  • Sämtliche Speicherinformationen
  • CPU-Informationen
  • Informationen über Dateisystem und den freien Speicher jeder Partition
  • Laufende Prozesse sowie ein Abbild jedes laufenden Threads
  • Eine Liste aller installierten Apps inklusive verwendeter Berechtigungen, Nutzer IDs und Versionsnummern
  • Systemeigenschaften und -Variablen
  • Aktuelle und vergangene Übertragungsempfänger und -Sender
  • Aktive Inhalt-Provider
  • Akku Informationen und Status, Inklusive Lade- und wake/lock-Historie

Und dabei handelt es sich lediglich um die Spitze des Eisbergs. Erschreckend daran ist, dass mit nur einem Bruchteil der Informationen theoretisch ein ganzes Gerät geklont werden kann. Dafür ist wie gesagt lediglich eine App nötig, die über eine Berechtigung für den Internetzugriff verfügt.

Der Weg zum U11: Die HTC-Flaggschiffe mit Android im Rückblick

Betroffene Geräte

Bisher ist nicht klar, welche Geräte betroffen sind. Sicher sind aber die folgende Modelle darunter:

  • HTC EVO 3D
  • HTC EVO 4G
  • HTC Thunderbolt
  • HTC Sensation (höchstwahrscheinlich)

Weitere Geräte werden diese Liste aber vermutlich ergänzen – die Kollegen von Android Police gehen der Sache derzeit weiter auf den Grund. Fest steht, dass lediglich Sense-Geräte betroffen sind – wer also AOSP-ROMs wie zum Beispiel die CyanogenMod nutzt, braucht sich keine Sorgen machen.

Gibt es eine Lösung des Problems?

Die Antwort darauf lautet leider: Nein. Bisher wurde die App HTCloggers.apk als ein Quell des Übels identifiziert, aber es wird davon ausgegangen, dass diese nicht alleine verantwortlich ist. Wer über Root-Rechte verfügt, kann die Datei aber sicherheitshalber vom Gerät entfernen – auch wenn das Problem danach allem Anschein nach nicht komplett behoben ist.

Reaktion von HTC?

Fehlanzeige. Die Sicherheitslücke wurde HTC bereits vor 5 Tagen gemeldet, ohne dass etwas passiert ist. Nun wurden die Informationen veröffentlicht in der Hoffnung, dass dadurch der öffentliche Druck auf den taiwanischen Hersteller steigt. Wir können nur inständig hoffen, dass es bald eine öffentliche Stellungnahme und vor allem ein Sicherheits-Update für die betroffenen Geräte gibt.

Wer nach der Lektüre dieses Artikels noch mehr und vor allem technischere Informationen braucht, der sollte sich den entsprechenden Beitrag bei Android Police (siehe Via-Link unten) zu Gemüte führen – dieser bietet neben weiteren interessanten Informationen auch eine Proof of Concept-App, mit der sich die Lücke auf dem eigenen Gerät begutachten lässt.

Wir werden natürlich umgehend berichten, sobald es Neuigkeiten gibt. Bis dahin könnt ihr eure Meinung zum Thema in den Kommentaren verewigen.

[via androidpolice.com]

Weitere Themen: HTC Event im Live-Ticker auf GIGA, HTC U11, HTC One A9s, HTC 10, HTC Desire 530, HTC Desire 825, HTC Desire 626, HTC One A9, HTC One ME, HTC

Neue Artikel von GIGA ANDROID