Massive Sicherheitslücke bei HTC Geräten entdeckt

McFlow · 03.10.2011, 10:40

Bei einigen HTC Geräten, die mit der originalen ROM von HTC laufen, wurde eine massive Sicherheitslücke entdeckt - bei den europäischen Modellen zumindest das HTC Evo 3D, eventuell auch (zumindest teilweise) das HTC Sensation und nach ersten Meldungen hier im Forum auch das HTC Desire S (mit Android 2.3.5 und Sense 3.0). Über diese Sicherheitslücke wäre es theoretisch möglich sehr viele private Daten auszulesen und zu versenden. Scheinbar wird dazu nur die Berechtigung android.permission.INTERNET benötigt. Diese gewährt den Zugriff auf das Internet. Da dies bei einem Großteil der Apps Standard ist, dürfte es schwer sein, damit den Argwohn der Benutzer zu wecken. Die HTC ROMs enthalten einen System-Logger, der diverse Daten mitschneiden kann. Darunter befinden sich Informationen über eingerichtete Konten, SMS, Kontakte und der Standort via GPS. Passwörter können von diesem Logger wohl nicht ausgelesen werden. Eigentlich sind diese Daten dazu gedacht, dem HTC Support bei Bedarf zu helfen. Diese Daten werden aber scheinbar unzureichend geschützt abgelegt, sodass jede beliebige App darauf zugreifen könnte. Eine selbstständige Behebung der Lücke ist derzeit nicht möglich. Androidpolice, die die Lücke publik gemacht haben, empfehlen die Datei /system/app/HtcLoggers.apk zu entfernen oder Custom ROM zu benutzen. Zum Entfernen der Datei wird allerdings Root-Zugriff benötigt. Wer testen möchte, ob sein Smartphone ebenfalls von der Lücke betroffen ist, findet im Artikel von Androidpolice eine "Proof of Concept" App, die diese Sicherheitslücke ausnutzt.

Das Problem wurde bereits am 24. September an HTC gemeldet. Leider gibt es derzeit keinerlei Reaktion seitens des Herstellers - ob an einer Lösung in Form eines Patches gearbeitet wird, ist völlig unbekannt...

Massive Sicherheitslücke bei HTC Geräten entdeckt-htc-bug-secure-android-hilfe.jpg

Massive Sicherheitslücke bei HTC Geräten entdeckt-htc-luecke.jpg

[YT]http://www.youtube.com/watch?v=YoTUkQ7SlNU&feature=player_embedded[/YT]

Diskussion zum Beitrag
(Im Forum "HTC Allgemein")

Weitere Beiträge auf Android-Hilfe.de
http://www.android-hilfe.de/news-ank...d-browser.html
http://www.android-hilfe.de/news-ank...s-2-3-4-a.html
http://www.android-hilfe.de/news-ank...id-market.html

Quellen: ComputerBase, mobiflip.de, androidpit.de

Ein Dankeschön geht auch an die User Blac und do_lehmi für das Einreichen der News.

Lion13 · 04.10.2011, 10:10

HTC hat nun (endlich) die genannte Sicherheitslücke bestätigt und verspricht kurzfristig einen Patch für die betroffenen Geräte; der Fehler liegt nach Angaben des Herstellers nicht an den HTC-Apps selbst, man gibt aber zu, daß Apps von Drittanbietern Zugang zu den Daten erlangen können - es sei aber bislang kein Fall bekannt, in dem dies ausgenutzt worden wäre... Wie immer weist HTC auch darauf hin, keine Apps von inoffiziellen Quellen zu installieren. Hier der (englische) Wortlaut der Erklärung:

Zitat:

HTC takes claims related to the security of our products very seriously. In our ongoing investigation into this recent claim, we have concluded that while this HTC software itself does no harm to customers' data, there is a vulnerability that could potentially be exploited by a malicious third-party application. A third party malware app exploiting this or any other vulnerability would potentially be acting in violation of civil and criminal laws. So far, we have not learned of any customers being affected in this way and would like to prevent it by making sure all customers are aware of this potential vulnerability.

HTC is working very diligently to quickly release a security update that will resolve the issue on affected devices. Following a short testing period by our carrier partners, the patch will be sent over-the-air to customers, who will be notified to download and install it. We urge all users to install the update promptly. During this time, as always, we strongly urge customers to use caution when downloading, using, installing and updating applications from untrusted sources.

Quelle: Engadget

Lion13 · 12.10.2011, 19:48

Nach nunmehr 8 Tagen scheint sich endlich in bezug auf die doch ernste Sicherheitslücke bei diversen HTC-Modellen etwas zu tun - laut ersten Meldungen bekommt zumindest das HTC Sensation derzeit ein ca. 9 MByte großes Update (auf Version 1.45.401.3), und im Hinweistext ist u.a. folgendes zu lesen:

Zitat:

Diese neue Software beinhaltet ein wichtiges Sicherheits Update.

Das Update kommt wie bei HTC üblich per OTA auf das Gerät, weitere Modelle werden vermutlich folgen, da das Problem wohl generell bei Original-ROMs ab Sense-Version 3.0 besteht.

Massive Sicherheitslücke bei HTC Geräten entdeckt-htc-sensation-update-500x330.jpg.pagespeed.ce_.0idvihqj2k.jpg

Quelle: Smartdroid

03.10.2011, 10:40	#1 (permalink)
McFlow News-Redakteur Modell: LG P990 Optimus Speed Registriert seit: 30.09.2009 Beiträge: 1.241 Abgegebene Danke: 354 Erhielt 443 Danke für 181 Beiträge	Massive Sicherheitslücke bei HTC Geräten entdeckt Bei einigen HTC Geräten, die mit der originalen ROM von HTC laufen, wurde eine massive Sicherheitslücke entdeckt - bei den europäischen Modellen zumindest das HTC Evo 3D, eventuell auch (zumindest teilweise) das HTC Sensation und nach ersten Meldungen hier im Forum auch das HTC Desire S (mit Android 2.3.5 und Sense 3.0). Über diese Sicherheitslücke wäre es theoretisch möglich sehr viele private Daten auszulesen und zu versenden. Scheinbar wird dazu nur die Berechtigung android.permission.INTERNET benötigt. Diese gewährt den Zugriff auf das Internet. Da dies bei einem Großteil der Apps Standard ist, dürfte es schwer sein, damit den Argwohn der Benutzer zu wecken. Die HTC ROMs enthalten einen System-Logger, der diverse Daten mitschneiden kann. Darunter befinden sich Informationen über eingerichtete Konten, SMS, Kontakte und der Standort via GPS. Passwörter können von diesem Logger wohl nicht ausgelesen werden. Eigentlich sind diese Daten dazu gedacht, dem HTC Support bei Bedarf zu helfen. Diese Daten werden aber scheinbar unzureichend geschützt abgelegt, sodass jede beliebige App darauf zugreifen könnte. Eine selbstständige Behebung der Lücke ist derzeit nicht möglich. Androidpolice, die die Lücke publik gemacht haben, empfehlen die Datei /system/app/HtcLoggers.apk zu entfernen oder Custom ROM zu benutzen. Zum Entfernen der Datei wird allerdings Root-Zugriff benötigt. Wer testen möchte, ob sein Smartphone ebenfalls von der Lücke betroffen ist, findet im Artikel von Androidpolice eine "Proof of Concept" App, die diese Sicherheitslücke ausnutzt. Das Problem wurde bereits am 24. September an HTC gemeldet. Leider gibt es derzeit keinerlei Reaktion seitens des Herstellers - ob an einer Lösung in Form eines Patches gearbeitet wird, ist völlig unbekannt... [YT]http://www.youtube.com/watch?v=YoTUkQ7SlNU&feature=player_embedded[/YT] Diskussion zum Beitrag (Im Forum "HTC Allgemein") Weitere Beiträge auf Android-Hilfe.de http://www.android-hilfe.de/news-ank...d-browser.html http://www.android-hilfe.de/news-ank...s-2-3-4-a.html http://www.android-hilfe.de/news-ank...id-market.html Quellen: ComputerBase, mobiflip.de, androidpit.de Ein Dankeschön geht auch an die User Blac und do_lehmi für das Einreichen der News.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Vorsicht: Sicherheitslücke in der Skype-App für Android entdeckt [Update verfügbar]]	Lion13	Android News	1	20.04.2011 12:30
Wieder eine Sicherheitslücke im Android-Browser entdeckt	Lion13	Android News	0	25.11.2010 09:35
Massive Sicherheitslücke auf dem iPhone entdeckt	s!Le	Smalltalk und Offtopic	0	01.06.2010 17:40
Sicherheitslücke in Android OS entdeckt	ses	Android News	0	10.12.2008 19:24

Massive Sicherheitslücke bei HTC Geräten entdeckt

Ähnliche Themen