Sicherheitslücke bei HTC’s Androiden

Von: Artur / Am: / In: Android Software, HTC

Die Kollegen von AndroidPolice.com haben während dem langen Wochenende eine Sicherheitslücke bei den neuen Android Smartphones aus dem Hause HTC entdeckt. Seit HTC Sense 2.1 oder 3.0 (bin mir nicht ganz sicher) gibt es einen Dienst, der sich “HTC mitteilen” nennt. Damit kann man schnell und einfach über Probleme oder Fehler berichten. Eigentlich ist dies eine gute Sache und trägt zur Optimierung der HTC Phones bei. Doch mit diesem Dienst ist auch die App HTCloggers.apk verknüpft, die die nötigen Daten entsprechend sammelt und an HTC schickt. Die Sicherheitslücke besteht darin, dass diese gesammelten Daten nicht geschützt sind und fast jede normale App hätte die Möglichkeit an diese Daten dran zu kommen.

Dazu benötigt diese App lediglich Inernet-Rechte. Und diese Rechte benötigen sehr viele Apps, die kostenlos angeboten werden, sich jedoch mithilfe von Werbung finanzieren. Jede App, die diese Rechte also besitzt und auf eurem Android Smartphone installiert ist, kann so manipuliert programmiert sein, dass sie die gesammelten Daten ebenfalls speichern und an den Entwickler schicken kann. Dazu gehören folgende Daten:

  • Die Liste der Nutzerkonten inklusive E-Mail-Adressen und Synchronisations-Status
  • Den letzten bekannten GPS-Standort und einen limitierten Teil der Standort-Historie
  • Telefonnummern aus der Anrufliste
  • SMS-Daten inklusive Telefonnummern und den Nachrichteninhalt (immerhin wird dieser verschlüsselt gesendet)
  • System Log-Dateien (sowohl kernel/dmesg als auch app/logcat), was alles beinhaltet, was aktuell laufende Apps so treiben (inklusive E-Mail-Adressen, Telefonnummern und weitere private Informationen

Darüber hinaus können noch weitere Daten gesammelt werden, und zwar folgende:

  • Aktive Benachrichtigungen in der Notification Bar, inklusive Benachrichtigungstext
  • Build-Nummer, Bootloader-, Radio- und Kernel-Version
  • Netzwerkinformationen inklusive IP-Adressen
  • Sämtliche Speicherinformationen
  • CPU-Informationen
  • Informationen über Dateisystem und den freien Speicher jeder Partition
  • Laufende Prozesse sowie ein Abbild jedes laufenden Threads
  • Eine Liste aller installierten Apps inklusive verwendeter Berechtigungen, Nutzer IDs und Versionsnummern
  • Systemeigenschaften und -Variablen
  • Aktuelle und vergangene Übertragungsempfänger und -Sender
  • Aktive Inhalt-Provider
  • Akku Informationen und Status, Inklusive Lade- und wake/lock-Historie

Es sind anscheinend alle neueren Geräte davon betroffen, dazu gehören wohl auch das HTC Sensation und das HTC EVO 3D. Ob euer Gerät davon betroffen ist, könnt ihr mithilfe der App testen, die das Team von AndroidPolice zum Download anbietet. Mehr Infos zu diesem Thema findet ihr natürlich in der Quelle.

Wie HTC an dieser Stelle “pennen” konnte, kann ich leider nicht nachvollziehen. Ich bin mir aber sicher, dass HTC diese Sicherheitslücke ganz schnell schließen wird. Die Arbeit der Jungs von AndroidPolice.com finde ich vorbildlich, denn wer weiß wie lange diese Lücke in dunklen Kreisen bereits bekannt ist? Gut, dass es nun publik ist und HTC etwas unternehmen kann.

Und eine offizielle Stellungsnahme von HTC gibt es dazu ebenfalls schon:

HTC takes claims related to the security of our products very seriously. In our ongoing investigation into this recent claim, we have concluded that while this HTC software itself does no harm to customers’ data, there is a vulnerability that could potentially be exploited by a malicious third-party application. A third party malware app exploiting this or any other vulnerability would potentially be acting in violation of civil and criminal laws. So far, we have not learned of any customers being affected in this way and would like to prevent it by making sure all customers are aware of this potential vulnerability.

HTC is working very diligently to quickly release a security update that will resolve the issue on affected devices. Following a short testing period by our carrier partners, the patch will be sent over-the-air to customers, who will be notified to download and install it. We urge all users to install the update promptly. During this time, as always, we strongly urge customers to use caution when downloading, using, installing and updating applications from untrusted sources.

Daraus entnehmen wir, dass HTC nun mit allen Mitteln an einer Lösung dafür arbeitet. Ein Sicherheits-Update sollte deshalb nicht lange auf sich warten lassen. Wie findet ihr das ganze?

Quelle: AndroidPolice und Androidnext

Tags: , , , , , , , , ,

Hat dir der Artikel gefallen?
Dann teile ihn doch mit deinen Freunden:
  • Stephan Fiedler

    Super das so schnell reagiert wird, hoffentlich kommt mit dem Update auch ein Fix für das Speichermanagement Problem, dass wäre super

  • Blank

    Eure Rechtschreibung wird immer bescheidener….

    • http://www.htcinside.de Eugen

      tut mir leid, aber der Tag war etwas anstregend, wir bessern uns ;)

  • Anonymous

    Mach mall 2 Jobs gleichzeitig dann reden wir weiter, nach einem langen harten Arbeitstag noch weiter zu machen, ist normal das die Konzentration nachlässt.