• Schwerwiegende Sicherheitslücke bei Android-Geräten von HTC

    von
    ultima optima
    Veröffentlicht: 03.10.2011 13:35 2541x gelesen  
    13 Kommentare Kommentare
    Wie das Techblog AndroidPolice am Samstag veröffentlichte, gibt es auf diversen HTC Android Handys eine massive Sicherheitslücke. Wie bekannt wurde, speichert HTC personenbezogene Nutzerdaten unverschlüsselt auf den Geräten. Doch die Gefährdung geht weit über die von Apples Locationgate (wir berichteten) hinaus.

    Unter anderem gespeichert werden:
    • letzte GPS-Positionsdaten
    • zuletzt benutzte Telefonnummern
    • zuletzt benutztes Netzwerk und IP-Adresse
    • E-Mail-Adressen
    • SMS-Daten, inklusive Telefonnummern und verschlüsselten Textinhalten (die höchstwahrscheinlich entschlüsselt werden können)
    • Systemprotokolle (kernel/dmesg und app/logcat)
    Apps von Drittanbietern können somit diese persönlichen Daten auslesen und speichern. Alles, was sie dafür brauchen, ist die Berechtigung android.permission.INTERNET, welche die meisten sowieso ohne zu bedenken erlauben und sehr viele Apps benötigen, schliesslich erlaubt sie den Zugang zum Internet. HTC mache es somit enorm einfach, Benutzerinnen und Benutzer auszuspionieren und an ihre personenbezogenen Daten zu kommen.

    Folgende Modelle sind bisher bestätigt: HTC EVO 4G, HTC EVO 3D, sowie die nur in den USA erhältlichen HTC Thunderbolt, HTC EVO Shift 4G und HTC MyTouch 4G Slide. Das bald erscheinende HTC Vigor und einige HTC Sensation-Modelle sind ebenfalls bestätigt, die Daten unverschlüsselt zu speichern.
    Vermutlich sind noch weitere Geräte von der Sicherheitslücke betroffen.
    AndroidPolice hat ebenfalls eine App veröffentlicht, um die Sicherheitslücke zu veranschaulichen. Diese App namens Loggingdangerapp benötigt keinerlei root-Reche und ist inklusive Quellcode zum Download verfügbar.

    Um die Sicherheitslücke zu schliessen, sollte HTC schnellstmöglich ein Update veröffentlichen. In der Zwischenzeit kann man, sofern man root-Rechte auf seinem Gerät besitzt, die App Htcloggers (unter /system/app/HtcLoggers.apk) entfernen.

    Bisher hat HTC noch keine Stellungnahme zu der Sicherheitslücke abgegeben.

    Quelle: AndroidPolice (Englisch)
    Stichworte:
    Kommentare 13 Kommentare
    1. Avatar von ChAoZ
      ChAoZ - 03.10.2011, 14:20
      Das ist schon krass. Hätte ich nicht gedacht, GPS Pos. okay, IP naja, aber letzte Telefonnummer, E-Mail Adressen? Haben die noch alle? Was wollen die damit? Meine fresse, ich hoffe Samsung macht nicht die gleichen -in meinen Augen- kriminellen Spionageaktionen.
    1. Avatar von T43er
      T43er - 03.10.2011, 14:33
      Das ist wirklich Krass. Und die datei htcloggers.apk hab ich garnicht drauf bei mir.
    1. Avatar von xhellyx
      xhellyx - 03.10.2011, 14:44
      krass is es alle mal ,aber gut das ich CM7 drauf hab auf mein Sensation ^^da is so was nicht bei .
    1. Avatar von Steffen 2.0
      Steffen 2.0 - 03.10.2011, 15:14
      Mal gucken ob HTC auch mal Updates für smartphones die älter als 3Monate sind anbietet
    1. Avatar von andy k
      andy k - 03.10.2011, 20:04
      Ja das ist schon krass. Ich bin sicher das ist auf allen Geräten so ! Android ist ein total offenes Buch ! Weil ja nur schon Google möglichst alles über die Nutzer wissen will ! Das ist sicher nicht nur auf HTC Geräte beschränkt. Das ist kriminell und sollte Verboten werden ! Wo sind denn da die Europäischen Datenschützer wo ? Das die Schweizer schlafen ist ja eh klar !
    1. Avatar von KnightNoir
      KnightNoir - 03.10.2011, 21:46
      Zitat Zitat von andy k Beitrag anzeigen
      Ja das ist schon krass. Ich bin sicher das ist auf allen Geräten so ! Android ist ein total offenes Buch ! Weil ja nur schon Google möglichst alles über die Nutzer wissen will ! Das ist sicher nicht nur auf HTC Geräte beschränkt. Das ist kriminell und sollte Verboten werden ! Wo sind denn da die Europäischen Datenschützer wo ? Das die Schweizer schlafen ist ja eh klar !
      Das liegt an der HtcLoggers.apk die HTC installiert hat, also erst mal nur HTC Geräte. Man sollte hier betonen, dass die Sicherheitslücke nicht daraus besteht, dass Daten gelogt werden, sondern das die Daten Programmen zu Verfügung stehen, die eigentlich keinen Zugriff haben.


      Für Entwickler ist das HtcLoggers.apk auch gar nicht schlecht, dazu gibt es im XDA Devs Forum einen Netten Beitrag. Allerdings frage ich mich warum 1. HTC die überall drauf installiert hat und 2. wer da bei HTC gepennt hat, bei der Entwicklung...
    1. Avatar von Mark3081
      Mark3081 - 04.10.2011, 06:40
      Hm die Frage ist mehr wie man das jetzt runter bringt... Auf ein Update hoffe ich so schnell nciht bei HTC, der Support meinte es könne auch bei DHDs drauf sein. Ist ein Custom ROM die einzige Möglcihkeit das Ding Zeitnah loszuwerden?
    1. Avatar von Megaliner
      Megaliner - 04.10.2011, 09:59
      Ja nee is klar, aber eine Welle der Endsetzung rollte über uns als das von Apple bekannt wurde, sage ich doch , alle OS sind so. Bald kommt so eine Nachricht über Win OS. Sind doch alle die gleichen Verbrecher.

      Wartete mal ab, bald kommen noch mehr Modellen von anderen Herstellern hinzu.
    1. Avatar von KnightNoir
      KnightNoir - 04.10.2011, 10:48
      Zitat Zitat von Mark3081 Beitrag anzeigen
      Hm die Frage ist mehr wie man das jetzt runter bringt... Auf ein Update hoffe ich so schnell nciht bei HTC, der Support meinte es könne auch bei DHDs drauf sein. Ist ein Custom ROM die einzige Möglcihkeit das Ding Zeitnah loszuwerden?
      Was ich bisher gelesen habe, kann man den HtcLogger abschalten und entfernen. Allerdings hab ich dafür noch keine Anleitung gesehen, falls die jemand findet, link posten bitte

      @Megaliner jepp
    1. Avatar von Mark3081
      Mark3081 - 04.10.2011, 11:00
      Na klahr sind das alles die selben Gauner. Mir scheint sowieso in der heutigen Zeit wird es einem teils fast verunmöglciht seine Daten halbwegs für sich zu behalten (also ohne das da irgendwelche statistiken daraus gemacht werden) das fängt bei z.B. der Coop Superkarte an und zieht sich durch bis zum Datenrecordern in Autos die witzigerweise auch fast jeder depp, in der Werkstatt auslesen kann.
    1. Avatar von Jetiman
      Jetiman - 04.10.2011, 17:21
      Man kann beim ersten einrichten sagen ob HTC Daten sammeln darf oder nicht.
    1. Avatar von kewag
      kewag - 04.10.2011, 20:48
      Mal ne Frage: ist das jetzt wirklich HTC only? Hört sich nach einem generellen Androidproblem an, wobei halt HTC noch einen drauf setzt mit diesem Gelogge
    1. Avatar von KnightNoir
      KnightNoir - 04.10.2011, 22:54
      Zitat Zitat von kewag Beitrag anzeigen
      Mal ne Frage: ist das jetzt wirklich HTC only? Hört sich nach einem generellen Androidproblem an, wobei halt HTC noch einen drauf setzt mit diesem Gelogge
      Ja, Normalerweise ist es ja so, dass man für die Informationen eine Erlaubnis erteilen muss. Die HTCLoggers.apk stellt die Informationen aber allen Pogrammen mit Zugang zum Internet zur Verfügung. Sofern also nicht Samsung auch irgendwie so was drauf hat, oder eben Motorla ist das HTC only und betrifft nicht generell Android


    Du betrachtest gerade Schwerwiegende Sicherheitslücke bei Android-Geräten von HTC von PocketPC.ch.