Sicherheit

Schwere Sicherheitslücke bei HTC-Smartphones

von - 04.10.2011
Schwere Sicherheitslücke bei HTC-Smartphones
Mehrere HTC-Smartphones haben eine Software installiert, die eine herstellereigene Sicherheitslücke beinhaltet. Dadurch kann jede beliebige App mit Internetberechtigung persönliche Daten abgreifen.
Nach einem Bericht auf Androidpolice.com ist auf mehreren aktuellen HTC-Smartphones das Programm htclogger installiert. Dabei handelt es sich um ein herstellereigenes Logging-Programm, das den Entwicklern eigentlich dazu dient, Fehler leichter und schneller zu finden. Allerdings gibt es in der aktuellen Software einiger Android-Geräte vom taiwanischen Hersteller HTC eine Sicherheitslücke in diesen Logging-Tools. Dadurch ist es jedem möglich, persönliche Daten der Anwender auszuspähen.
Um Systemdaten aus diesen Geräten auszulesen, genügen schon Apps mit minimalen Zugriffsrechten wie „android.permission.INTERNET“. Über diese Berechtigung verfügt jede App, die auf irgendeine Weise eine Verbindung zum Internet aufbaut. Damit können alle Apps mit der Berechtigung „INTERNET“ an einem lokalen Port Verbindungen mit htclogger aufbauen. Darüber können sie dann Anruflisten, Telefonnummern, Netz- und GPS-Ortungen, SMS-Daten und System-Logs auslesen. Normalerweise haben Apps nur Zugriff auf das, was die jeweilige Berechtigungen ermöglichen.
Diese Sicherheitslücke kann nicht ohne Vollzugriff („Root“) oder ein Update von HTC beseitigt werden. Um das Risiko möglichst gering zu halten, sollten keine fragwürdigen Apps heruntergeladen werden. Es ist nicht vorhersehbar, inwiefern Daten gesammelt und versendet werden.
Von der Sicherheitslücke betroffen sind wohl das Evo 3D, das Evo 4G und das Thunderbolt. Möglicherweise könnten auch das Evo Shift 4G, MyTouch Slide 4G, Vigor und das Sensation sowie viele weitere, nicht näher genannte Geräte die Schwachstelle aufweisen. Dem Bericht nach sind nur jene Geräte betroffen, die ein originales ROM verwenden. „Custom ROMs“ beinhalten diese Sicherheitslücke nicht.
Die Entwickler bitten nun die Besitzer von HTC-Geräten, sie bei der Suche zu unterstützen. Um Geräte auf Sicherheitslücken zu überprüfen, erstellte Trevor Eckhart ein Proof of Concept. Dabei handelt es sich um eine Open-Source-App. Sie nutzt die Berechtigung „INTERNET“ und zeigt an, ob sie Zugang zu allen Daten hat. Die App kann über androidpolice.com heruntergeladen werden.
Trevor Eckhart hat HTC bereits am 24. September 2011 über die Sicherheitslücke informiert. Mit der Veröffentlichung erhofft sich nun androidpolice.com, schneller eine Lösung zu finden. HTC begutachtet dieses Problem inzwischen, hat aber die aktuellen Geschehnisse noch nicht kommentiert.
Verwandte Themen