Sicherheitslücke auf Android-Smartphones von HTC entdeckt

Christopher Göbel
2

Das dürfte wohl keinem HTC-Nutzer gefallen: Die Kollegen von Android Police haben eine massive Sicherheitslücke auf HTC-Geräten mit dem Android-OS entdeckt, die es jeder App, die die Interverbindung nutzt, ermöglicht, persönliche Daten wie GPS-Standorte, E-Mail-Adressen, SMS und Telefonnummern auszulesen.

Sicherheitslücke auf Android-Smartphones von HTC entdeckt

Seit geraumer Zeit hat HTC offenbar auf allen Sense-Geräten einige Logger installiert, die im Hintergrund wichtige Daten sammeln. Der Grund für diese Sammlung ist noch unbekannt — es wird aber davon ausgegangen, dass HTC die Tätigkeiten aufzeichnet, um in Support-Fällen Kundenprobleme leichter und schneller zu analysieren.

Blöd nur, dass HTC wohl vergessen hat, diese Schnittstelle entsprechend abzusichern, wodurch “böswillige” Apps, die lediglich über die Berechtigung android.permission.INTERNET verfügen müssen, auf persönlichen Daten zugreifen können. Die Problematik wird zusätzlich dadurch verschärft, dass so gut wie jede App über die genannte Berechtigung verfügt — sei es nur ein Spiel, um Werbebanner einzublenden.

Sobald eine App also auf die Internetverbindung zugreift, kann sie folgende Daten auslesen:

  • Die Liste aller Nutzer-Accounts auf dem Telefon inklusive E-Mail-Adressen und Synchronisations-Status
  • Das letzte bekannte Netzwerk sowie alle GPS-Daten und einen Teil der Standort-Historie
  • Telefonnummern aus der Anrufliste
  • SMS-Daten inklusive aller Nummern und dem verschlüsselten Text
  • System-Log-Dateien (was laufende Apps so machen, weitere private Informationen)

Das ist aber noch längst nicht alles; denn Android Police berichtet außerdem, dass es ihnen möglich war, auf jede Menge weitere Telefondaten — wie die laufenden Prozesse, die Liste der installierten Apps, CPU-Info, usw. — zuzugreifen. Momentan ist noch unbekannt, welche Geräte genau betroffen sind, sicher sind allerdings folgende Modelle:

Zudem wird vermutet, dass auch das HTC Sensation über die Sicherheitslücke verfügt; böse Zungen behaupten weiterhin, es seien alle HTC Sense 3.0-Gerät betroffen. Wer eine Custom-ROM installiert hat, muss sich aber keine Sorgen machen, denn es steht fest, dass nur Sense-Modelle betroffen sind.


Eine Antwort auf das Problem scheint es momentan noch nicht zu geben — zwar wurde die App HTCloggers.apk als eine Übelquelle identifiziert, es wird aber davon ausgegangen, dass sie nicht alleine für das Problem verantwortlich ist. Sicherheitshalber kann aber der, der über Root-Rechte verfügt, die App von seinem Gerät entfernen — sie ist unter /system/app/Htcloggers.apk zu finden.

Zwar können wir das Problem aktuell nicht nachprüfen, deswegen will ich auch trotz der Sicherheitslücke keine allzu große Panik verbreiten, plausibel scheint der Artikel aber zu sein.  Wer sich selbst ein Bild machen möchte, ob sein Gerät betroffen ist, der wirft einen Blick auf obiges Tutorial-Video. Die benötigte Datei gibt es in folgendem Download.

HTC hat sich zu diesem Thema bereits offiziell geäußert und arbeitet zur Zeit an einer entsprechenden Lösung. Die Sicherheitslücke wird aber demnächst via Over-the-Air-Update geschlossen werden.

HTC takes claims related to the security of our products very seriously. In our ongoing investigation into this recent claim, we have concluded that while this HTC software itself does no harm to customers' data, there is a vulnerability that could potentially be exploited by a malicious third-party application. A third party malware app exploiting this or any other vulnerability would potentially be acting in violation of civil and criminal laws. So far, we have not learned of any customers being affected in this way and would like to prevent it by making sure all customers are aware of this potential vulnerability.

HTC is working very diligently to quickly release a security update that will resolve the issue on affected devices. Following a short testing period by our carrier partners, the patch will be sent over-the-air to customers, who will be notified to download and install it. We urge all users to install the update promptly. During this time, as always, we strongly urge customers to use caution when downloading, using, installing and updating applications from untrusted sources.

Download Test APK: AndroidPolice

Weitere Themen: Android, HTC Event im Live-Ticker auf GIGA, HTC One A9s, HTC 10, HTC Desire 530, HTC Desire 825, HTC Desire 626, HTC One A9, HTC One ME, HTC

Neue Artikel von GIGA GRUEN

GIGA Marktplatz
}); });