Massive Sicherheitslücke bei HTC Geräten entdeckt

News vom 03.10.2011 um 10:40 Uhr von McFlow

  1. htc-bug-secure-android-hilfe.jpg
    Bei einigen HTC Geräten, die mit der originalen ROM von HTC laufen, wurde eine massive Sicherheitslücke entdeckt - bei den europäischen Modellen zumindest das HTC Evo 3D, eventuell auch (zumindest teilweise) das HTC Sensation und nach ersten Meldungen hier im Forum auch das HTC Desire S (mit Android 2.3.5 und Sense 3.0). Über diese Sicherheitslücke wäre es theoretisch möglich sehr viele private Daten auszulesen und zu versenden. Scheinbar wird dazu nur die Berechtigung android.permission.INTERNET benötigt. Diese gewährt den Zugriff auf das Internet. Da dies bei einem Großteil der Apps Standard ist, dürfte es schwer sein, damit den Argwohn der Benutzer zu wecken. Die HTC ROMs enthalten einen System-Logger, der diverse Daten mitschneiden kann. Darunter befinden sich Informationen über eingerichtete Konten, SMS, Kontakte und der Standort via GPS. Passwörter können von diesem Logger wohl nicht ausgelesen werden. Eigentlich sind diese Daten dazu gedacht, dem HTC Support bei Bedarf zu helfen. Diese Daten werden aber scheinbar unzureichend geschützt abgelegt, sodass jede beliebige App darauf zugreifen könnte. Eine selbstständige Behebung der Lücke ist derzeit nicht möglich. Androidpolice, die die Lücke publik gemacht haben, empfehlen die Datei /system/app/HtcLoggers.apk zu entfernen oder Custom ROM zu benutzen. Zum Entfernen der Datei wird allerdings Root-Zugriff benötigt. Wer testen möchte, ob sein Smartphone ebenfalls von der Lücke betroffen ist, findet im Artikel von Androidpolice eine "Proof of Concept" App, die diese Sicherheitslücke ausnutzt.

    Das Problem wurde bereits am 24. September an HTC gemeldet. Leider gibt es derzeit keinerlei Reaktion seitens des Herstellers - ob an einer Lösung in Form eines Patches gearbeitet wird, ist völlig unbekannt...

    htc-bug-secure-android-hilfe.jpg htc-luecke.jpg


    [YT]http://www.youtube.com/watch?v=YoTUkQ7SlNU&feature=player_embedded[/YT]


    Diskussion zum Beitrag
    (Im Forum "HTC Allgemein")

    Weitere Beiträge auf Android-Hilfe.de
    http://www.android-hilfe.de/news-an...iches-sicherheitsleck-im-android-browser.html
    http://www.android-hilfe.de/news-an...lten-wlans-android-versionen-bis-2-3-4-a.html
    http://www.android-hilfe.de/news-an...lware-angriff-auf-googles-android-market.html

    Quellen: ComputerBase, mobiflip.de, androidpit.de

    Ein Dankeschön geht auch an die User Blac und do_lehmi für das Einreichen der News.
     
    McFlow, 03.10.2011
    anime, Ingolf1 und Lion13 haben sich bedankt.
  2. HTC hat nun (endlich) die genannte Sicherheitslücke bestätigt und verspricht kurzfristig einen Patch für die betroffenen Geräte; der Fehler liegt nach Angaben des Herstellers nicht an den HTC-Apps selbst, man gibt aber zu, daß Apps von Drittanbietern Zugang zu den Daten erlangen können - es sei aber bislang kein Fall bekannt, in dem dies ausgenutzt worden wäre... Wie immer weist HTC auch darauf hin, keine Apps von inoffiziellen Quellen zu installieren. Hier der (englische) Wortlaut der Erklärung:

    Quelle: Engadget
     
    Lion13, 04.10.2011
    benutzer1903 und McFlow haben sich bedankt.
  3. Nach nunmehr 8 Tagen scheint sich endlich in bezug auf die doch ernste Sicherheitslücke bei diversen HTC-Modellen etwas zu tun - laut ersten Meldungen bekommt zumindest das HTC Sensation derzeit ein ca. 9 MByte großes Update (auf Version 1.45.401.3), und im Hinweistext ist u.a. folgendes zu lesen:
    Das Update kommt wie bei HTC üblich per OTA auf das Gerät, weitere Modelle werden vermutlich folgen, da das Problem wohl generell bei Original-ROMs ab Sense-Version 3.0 besteht.

    htc-sensation-update-500x330.jpg.pagespeed.ce_.0iDvIhQj2k.jpg


    Quelle: Smartdroid
     
    Lion13, 12.10.2011
    McFlow und Ingolf1 haben sich bedankt.

Diese Seite empfehlen