HTC bestätigt massive Sicherheitslücke bei eigenem Android

4. Oktober 2011, 10:02
41 Postings

Apps können einfach Zugriff auf hochsensible Daten bekommen - Standort, Telefonnummern und mehr - Update soll folgen

Es gibt Sicherheitslücken, die sind kaum vermeidbar, etwa in komplexen Gebilden, wie sie aktuelle Webbrowser darstellen. Und dann gibt es solche, für die ein "Double-Facepalm" noch nicht auszureichen scheint: Der Smartphonehersteller HTC hat nun eine massive Sicherheitslücke bei den eigenen aktuellen Android-Modellen eingestanden, die ob der dafür verantwortlichen Fehler für einiges Kopfschütteln sorgt.

Spionage

Wie vor einigen Tagen öffentlich geworden, kann eine App, die lediglich den Zugriff auf die Internet-Berechtigung von Android abfragt, auf eine umfangreiche Palette an hochsensiblen Information von HTC-Sense-Smartphones zugreifen. Neben dem aktuellen Standort gehören dazu etwa die Liste der aktuell gewählten Telefonnummern, die lokal eingerichteten Accounts, SMS-Informationen und System Logs. Selbst Benachrichtigungen können auf diesem Weg mitgelesen werden.

Logging

Verantwortlich für dieses Problem ist der Umstand, dass HTC auf den eigenen Geräten neben der Android-Anpassung Sense auch eine App namens HTCLoggers.apk vorinstalliert, die die Aktivitäten der NutzerInnen umfangreich mitprotokolliert. Ursprünglich wohl vor allem für die Fehlersuche gedacht, weist diese Anwendung schwere konzeptionelle Defizite in Sicherheitsfragen auf. So kann eben jede andere App mit Internet-Berechtigung beliebige Anfragen an sie schicken, um die diversen Daten auszulesen. Wie einfach dies geht hat man bei Android Police gezeigt, indem man gleich eine Demo-App entwickelt hat.

Update

HTC betont nun in einer recht generisch gehaltenen Nachricht, dass man die Sicherheit der eigenen Geräte sehr ernst nehme, entsprechend bereits an Updates für die betroffenen Modelle arbeite. Dies sind soweit bisher bekannt praktisch alle aktuellen Smartphones von HTC, sofern sie mit HTC Sense laufen, der Hersteller nennt hier selbst keinerlei Details. Wer auf seinen Geräten Dritt-Firmware installiert hat, ist hiervon natürlich nicht betroffen. Einen Zeitrahmen für die Auslieferung der Updates nennt man nicht.

Manuell

Wer einen Root-Zugang auf seinem Smartphone hat, kann das Problem übrigens auch recht einfach selbst beseitigen und HTCLoggers.apk manuell aus /system/app löschen. Dabei sei allerdings darauf hingewiesen, dass dieser Schritt zu Problemen mit kommenden, offiziellen Updates führen kann, insofern macht es Sinn die Datei lokal zu sichern und vor einem Update wieder an ihren Platz zu setzen (und die Berechtigungen anzupassen). Wem dies zu riskant erscheint, dem bleibt nur bis zur Verfügbarkeit eines Updates besonders umsichtig bei der Installation neuer Apps zu sein. (apo, derStandard.at, 04.10.11)

  • Bild nicht mehr verfügbar

    Es führt ein Loch ins nirgendwo, HTC produziert in seinen eigenen Android-Smartphone eine veritable Hintertür.

    Image: Gualemala sinkhole 2010 1, a Creative Commons Attribution (2.0) image from 67165210@N00's photostream

Share if you care.