Massive Sicherheitslücke bei HTC Geräten entdeckt

Status
Für weitere Antworten geschlossen.
McFlow

McFlow

Dauergast
379
Bei einigen HTC Geräten, die mit der originalen ROM von HTC laufen, wurde eine massive Sicherheitslücke entdeckt - bei den europäischen Modellen zumindest das HTC Evo 3D, eventuell auch (zumindest teilweise) das HTC Sensation und nach ersten Meldungen hier im Forum auch das HTC Desire S (mit Android 2.3.5 und Sense 3.0). Über diese Sicherheitslücke wäre es theoretisch möglich sehr viele private Daten auszulesen und zu versenden. Scheinbar wird dazu nur die Berechtigung android.permission.INTERNET benötigt. Diese gewährt den Zugriff auf das Internet. Da dies bei einem Großteil der Apps Standard ist, dürfte es schwer sein, damit den Argwohn der Benutzer zu wecken. Die HTC ROMs enthalten einen System-Logger, der diverse Daten mitschneiden kann. Darunter befinden sich Informationen über eingerichtete Konten, SMS, Kontakte und der Standort via GPS. Passwörter können von diesem Logger wohl nicht ausgelesen werden. Eigentlich sind diese Daten dazu gedacht, dem HTC Support bei Bedarf zu helfen. Diese Daten werden aber scheinbar unzureichend geschützt abgelegt, sodass jede beliebige App darauf zugreifen könnte. Eine selbstständige Behebung der Lücke ist derzeit nicht möglich. Androidpolice, die die Lücke publik gemacht haben, empfehlen die Datei /system/app/HtcLoggers.apk zu entfernen oder Custom ROM zu benutzen. Zum Entfernen der Datei wird allerdings Root-Zugriff benötigt. Wer testen möchte, ob sein Smartphone ebenfalls von der Lücke betroffen ist, findet im Artikel von Androidpolice eine "Proof of Concept" App, die diese Sicherheitslücke ausnutzt.

Das Problem wurde bereits am 24. September an HTC gemeldet. Leider gibt es derzeit keinerlei Reaktion seitens des Herstellers - ob an einer Lösung in Form eines Patches gearbeitet wird, ist völlig unbekannt...

htc-bug-secure-android-hilfe.jpg htc-luecke.jpg


[YT]http://www.youtube.com/watch?v=YoTUkQ7SlNU&feature=player_embedded[/YT]


[OFFURL="https://www.android-hilfe.de/htc-allgemein/151347-sicherheitsluecke-bei-htc-android-geraeten.html"]Diskussion zum Beitrag[/OFFURL]
(Im Forum "HTC Allgemein")

Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...icherheitsleck-im-android-browser.131656.html
https://www.android-hilfe.de/forum/...wlans-android-versionen-bis-2-3-4.104387.html
https://www.android-hilfe.de/forum/...ngriff-auf-googles-android-market.109114.html

Quellen: ComputerBase, mobiflip.de, androidpit.de

Ein Dankeschön geht auch an die User Blac und do_lehmi für das Einreichen der News.
 
  • Danke
Reaktionen: anime, Ingolf1 und Lion13
HTC hat nun (endlich) die genannte Sicherheitslücke bestätigt und verspricht kurzfristig einen Patch für die betroffenen Geräte; der Fehler liegt nach Angaben des Herstellers nicht an den HTC-Apps selbst, man gibt aber zu, daß Apps von Drittanbietern Zugang zu den Daten erlangen können - es sei aber bislang kein Fall bekannt, in dem dies ausgenutzt worden wäre... Wie immer weist HTC auch darauf hin, keine Apps von inoffiziellen Quellen zu installieren. Hier der (englische) Wortlaut der Erklärung:

HTC takes claims related to the security of our products very seriously. In our ongoing investigation into this recent claim, we have concluded that while this HTC software itself does no harm to customers' data, there is a vulnerability that could potentially be exploited by a malicious third-party application. A third party malware app exploiting this or any other vulnerability would potentially be acting in violation of civil and criminal laws. So far, we have not learned of any customers being affected in this way and would like to prevent it by making sure all customers are aware of this potential vulnerability.

HTC is working very diligently to quickly release a security update that will resolve the issue on affected devices. Following a short testing period by our carrier partners, the patch will be sent over-the-air to customers, who will be notified to download and install it. We urge all users to install the update promptly. During this time, as always, we strongly urge customers to use caution when downloading, using, installing and updating applications from untrusted sources.
Zum Vergrößern anklicken....
Quelle: Engadget
 
  • Danke
Reaktionen: benutzer1903 und McFlow
Nach nunmehr 8 Tagen scheint sich endlich in bezug auf die doch ernste Sicherheitslücke bei diversen HTC-Modellen etwas zu tun - laut ersten Meldungen bekommt zumindest das HTC Sensation derzeit ein ca. 9 MByte großes Update (auf Version 1.45.401.3), und im Hinweistext ist u.a. folgendes zu lesen:
Diese neue Software beinhaltet ein wichtiges Sicherheits Update.
Zum Vergrößern anklicken....

Das Update kommt wie bei HTC üblich per OTA auf das Gerät, weitere Modelle werden vermutlich folgen, da das Problem wohl generell bei Original-ROMs ab Sense-Version 3.0 besteht.

htc-sensation-update-500x330.jpg.pagespeed.ce_.0iDvIhQj2k.jpg


Quelle: Smartdroid
 
  • Danke
Reaktionen: McFlow und Ingolf1
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

P-J-F
  • Gesperrt
Sicherheitslücke in vielen Qualcomm-SoCs aufgedeckt
  • P-J-F
Antworten
0
Aufrufe
4.247
P-J-F
P-J-F
P-J-F
  • Gesperrt
Gearbest bestätigt Sicherheitslücke bei Nutzerdaten
  • P-J-F
Antworten
0
Aufrufe
2.088
P-J-F
P-J-F
P-J-F
  • Gesperrt
HTC U11 bekommt endlich auch bei uns Android Pie
  • P-J-F
Antworten
0
Aufrufe
3.456
P-J-F
P-J-F
Zurück
Oben Unten