Massive Sicherheitslücke in aktuellen HTC Smartphones – Auslesen privater Daten wie Nummer, SMS, Email etc. möglich

Diese Nachricht dürfte Besitzern von HTC-Smarthones alles andere als gefallen. Wie die Kollegen von Android Police aufdecken konnten, stehen aktuelle Smartphones mit installierter Nutzeroberfläche Sense in Version 3.0 relativ ungeschützt dar. Durch eine Sicherheitslücke könnten manipulierte Apps mittels der Berechtigung android.permission.INTERNET auf beinahe alle persönlichen Daten zugreifen und diese auslesen bzw. versenden.

Diese genannte Berechtigung ist in allen Apps vorhanden, welche einen Zugriff auf das Internet benötigen. Gerade dies macht die Lücke so brisant, denn beinahe jede App beansprucht diese Rechte. Die Sicherheitslücke betrifft nur Smartphones mit einer sauberen HTC Sense 3.0-Installation. Wer angepasste Firmware wie einen Cyanogenmod auf seinem Gerät laufen hat, kann beruhigt sein.

Zu dieser Sicherheitslücke kommt hinzu, dass HTC in einem System-Logger-Ordner allerhand sensible Daten gesammelt hat und diese, offenbar recht ungeschützt, an einem Ort gespeichert sind. Installiert man versehentlich eine manipulierte App auf dem Telefon, könnte diese den kompletten Datenpool anzapfen und absaugen, was unter einer anderen, bzw. ‚Vanilla‘ Android-Version, nie möglich wäre.

Nach Informationen, die Android Police zusammengefasst hat, könnte auf die folgenden Daten zugegriffen werden:

  • Die Liste aller Nutzer-Accounts auf dem Telefon, inkl. der E-Mail Adressen und dem Sync Status für jeden dieser Accounts
  • Das letzte bekannte Netzwerk, sowie alle GPS-Daten, als auch einen begrenzten Bestandteil der Standortdaten
  • Telefonnummern aus der Anrufliste
  • SMS-Daten, inklusive aller Telefonnummern und dem Inhalt der Nachrichten, wobei dieser wenigstens verschlüsselt ist
  • System-Log-Dateien

Neben diesen sensiblen Daten lassen sich noch allerhand weitere systemrelevante Informationen kopieren. Nur ein Bruchteil der auslesbaren Informationen reiche laut Android Police aus, um das komplette Smartphone zu klonen – und dafür genügt es, eine einzige manipulierte App auf das Smartphone zu schleusen.

HTC ist die Sicherheitslücke bereits seit dem 24. September bekannt. Der Entdecker der Sicherheitslücke hatte an diesem Tag HTC kontaktiert und darauf aufmerksam gemacht – seitdem hat er keine Antwort erhalten.

Bislang existiert noch keine Lösung für das Problem. Weder gibt es ein Update von HTC, noch können User mit Root-Zugriff die Lücke stopfen. Allerdings wird letzteren empfohlen, die Datei Htcloggers unter /system/app/HtcLoggers.apk zu entfernen. Ob dies ausreicht, ist allerdings nicht sicher. Darüber hinaus wird empfohlen, die Finger von der Installation „verdächtiger Apps“ zu lassen. Sobald es weitere Informationen zu der Problematik gibt, werden wir berichten.

Folgende Smartphones sind betroffen – manche noch unbestätigt:

YouTube Preview Image
– via AndroidPolice

3 Kommentare Schreibe einen Kommentar

Schreibe einen Kommentar