Sicherheitslücke in aktuellen HTC-Smartphones entdeckt - Patch angekündigt

[Jack Sparrow]

Bitte lesen.

Massive Sicherheitslücke in HTC-Android Devices: Nummer, GPS-Daten, SMS, E-Mails, Adressen werden freigelegt - AndroidPIT



EDIT (Thyrion):
Bitte hierzu auch die News beachten: https://www.android-hilfe.de/forum/...sluecke-bei-htc-geraeten-entdeckt.151447.html

04.10.2011: HTC hat die Lücke bestätigt und für die betroffenden Geräte einen Patch angekündigt, der nach kurzer Testphase OTA (over the air) verteilt werden soll.

 

[pappa27]

HTC-Handys geben unzählige Daten an Apps weiter - Massive Lücke - Digital - krone.at

habe nachgeschaut und habe diese app drauf, läßt sich wirklich nicht ohne root löschen.

sie befindet sich unter: system/app/htcloggers.apk

habe 2.3.5/sense 3.0

DSC01755.jpg

 

[Erebos]

Also auf meinem DS befindet sich diese APP nicht, zumindest nicht vor dem Update auf 2.3.5 und Sense 3.0, das habe ich noch nicht bekommen...

 

[uwm]

Was soll ich sagen ? Auf meinem Desire S habe ich es auch nicht gefunden.

Das Smartphones im allgemeinen dazu neigen "nach hause" zu telefonieren ist der Fluch der Bequemlichkeit.

Ich habe es vor kurzem mal wieder mit einem Nokia N8 probiert - da hatte ich zwar mehr Kontrolle über meine Daten und eine offline Synchronisation.

Dafür ist die Bedienung unterirdisch gewesen, und wenn ich vergesse, das Teil täglich mit Outlook zu syncen fehlen neu eingetragene Kontakte und Termine.

Wenn ich unterwegs always on sein möchte und eine komfortable Termin und Kontakteverwaltung möchte muß ich es wohl oder übel akzeptieren, das meine Daten möglicherweise mitgelesen werden ...

 

[che42]

Wo kann man die HTCLoggers.apk App finden ( falls vorhanden ), unter den normalen Apps ?

Gruß Che42

 

[pappa27]

steht doch oben im ersten thread
habe den ES DATEI EXPLORER

 

[iceman]

Auf meinem DesireS findet sich die App auch nicht. Habe aber auch noch nicht upgedatet....


Gesendet mit der Android-Hilfe.de-App

 

[leinpfad]

"Patching The Vulnerability is not possible without either root or an update from HTC. If you do root, we recommend immediate removal of Htcloggers (you can find it at /system/app/HtcLoggers.apk)."

Die HtcLoggers.apk gibt es erst seit Sense3.x, wenn ich mich nicht irre.
Die Panikmache-Überschriften sollte man vielleicht anpassen.

 

[pappa27]

komisch, wenn ich die htcloggers.apk anklicke, will sie sich installieren.
wer weiß was diese app wirklich bedeutet.
bei facebook geben ja auch viele ihre daten preis, und bei windows erst, wer weiß was da alles gesendet wird. mach mir da nicht so den kopp.

DSC01756.jpg

 

[c0de]

ach, und weil es mittlerweile normal geworden ist, dass alle wie die lemminge ihr leben bei facebook "reinkotzen" (sorry für die ausdrucksweise), muss man sich keinen "kopp" mehr machen? hmm. und windows? naja, da kann man ja mitschneiden, wenn man ms benutzt, was ich nicht tue.
trotzdem ist das von htc aus ein unding und ein armutszeugnis, da gibt es nichts zu relativieren.

 

[pappa27]

ach, und weil es mittlerweile normal geworden ist, dass alle wie die lemminge ihr leben bei facebook "reinkotzen" (sorry für die ausdrucksweise), muss man sich keinen "kopp" mehr machen? hmm. und windows? naja, da kann man ja mitschneiden, wenn man ms benutzt, was ich nicht tue.
trotzdem ist das von htc aus ein unding und ein armutszeugnis, da gibt es nichts zu relativieren.

ist schon richtig, aber ich kanns nun mal nicht ändern das diese app bei mir drauf ist. bin mir auch fast sicher das diese durchs update raufgekommen ist.
1. in der news wurden glaube ich nur htc's mit sense 3.0 genannt.
2. diejenigen die sie nicht haben, haben auch noch kein update gemacht oder bekommen.

 

[Lion13]

Ich habe die beiden bisherigen Threads jetzt mal bei "HTC Allgemein" zusammengeführt - vermutlich sind es ja doch mehrere Geräte, die betroffen sind.

 

[DocSnyder]

In HTC-Smartphones sind durch Sense einige Logger integriert, welche die gemachten Tätigkeiten des Android-Smartphone aufzeichnen, um in Support-Fällen die Unterstützung bzw. Fehlersuche zu vereinfachen. (Schöner Witz! Anmerk. Doc) Blöd ist nur, dass genau über diese Schnittstelle mittels Schadsoftware ein Zugriff auf eure Daten gewonnen werden kann, dazu benötigt die Schadsoftware lediglich die Berechtigung “UNEINGESCHRÄNKTER INTERNETZUGRIFF”. Die Daten wären die Anrufliste inkl. Telefonnummern, SMS (verschlüsselt), Systemereignisse, Nutzerkonten und GPS-Standorte, ein Zugriff auf Passwörter kann nicht zustande kommen.
Sicherheitslücke in aktuellen HTC-Smartphones entdeckt


EDIT: Vielleicht könnte man versuchen den Dienst HTCLogger.apk einzufrieren. Dann könnte das Problem vielleicht gelöst sein.

 

[Gelangweilter]

Auf meinem HTc Sensation gibt es den Dienst nicht. Gerade geschaut.

 

[DocSnyder]

Der soll zu Sense 3.0 gehören.

 

[Gelangweilter]

Der ist trotzdem nicht da. Kann sein, weil es vielleicht ein VF Branding hat. Keine Ahnung.

 

[DocSnyder]

Vielleicht mal *#*#HTCLOGH#*#* testen. Auf Port 53718 wird wohl gelauscht auf Befehle von HTC.

 

[tronix84]

@DocSnyder

Gibts beim Sensation nicht, sondern nur im Evo 3D, 3G und Thunderbolt.

Du hast ein SGS2 und bist im Sensation Forum teils aktiver als im SGS2 Forum. Hat das einen speziellen Grund? Fällt halt auf weil ich vorhin grad zufällig den Foto Qualität Thread durchgelesen habe und speziell du rausstichst. Auch mit solchen Aussagen: Link. Aber netter Versuch (wieder mal) das Sensation negativ dastehen zu lassen...

 

[DocSnyder]

Es wird doch von Sense 3.0 gesprochen?!

Affected Phones

• EVO 4G
• EVO 3D
• Thunderbolt
• EVO Shift 4G? (thanks, pm)
• MyTouch 4G Slide? (thanks, Michael)
• the upcoming Vigor? (thanks, bjn714)
• some Sensations? (thanks, Nick)
• most likely others - we haven't verified them yet, but you can help us by downloading the proof of concept above and running the APK

HTC's latest software installed on such phones as EVO 3D, EVO 4G, Thunderbolt, and others.
...
But that's not all. After looking at the huge amount of data (the log file was 3.5MB on my EVO 3D) that is vulnerable to apps exploiting this vulnerability all day, I found the following is also exposed (granted, some of which may be already available to any app via the Android APIs):

• active notifications in the notification bar, including notification text
• build number, bootloader version, radio version, kernel version
• network info, including IP addresses
• full memory info
• CPU info
• file system info and free space on each partition
• running processes
• current snapshot/stacktrace of not only every running process but every running thread
• list of installed apps, including permissions used, user ids, versions, and more
• system properties/variables
• currently active broadcast listeners and history of past broadcasts received
• currently active content providers
• battery info and status, including charging/wake lock history
• and more

Let me put it another way. By using only the INTERNET permission, any app can also gain at least the following:
ACCESS_COARS

http://www.androidpolice.com/2011/1...e-numbers-gps-sms-emails-addresses-much-more/

Sent from my GT-I9100 using Tapatalk

 

[meckergecko]

ein weiterer Grund, auf diese ganze Hersteller-eigene Bloatware zu verzichten und auf plain Android zu setzen... oder besser gleich auf root.