Mehrere Android-Smartphones von HTC weisen einen Software-Fehler auf, der es beliebigen Anwendungen mit Internetzugriff ermöglicht, auf persönliche Daten wie SMS, Standortinformationen, E-Mail-Adressen und Telefonnummern zuzugreifen. Gefunden haben die Lücke die Sicherheitsforscher Artem Russakovskii, Justin Case und Trevor Eckhard. Sie steckt in Logging-Anwendungen, die HTC kürzlich im Rahmen eines Software-Updates installiert hatte. Betroffen sind unter anderem die Geräte Evo 3D, Evo 4G und Thunderbolt.
Die Tools sollen dabei helfen, aus der Ferne Probleme auf einem HTC-Gerät zu analysieren. Der Fehler besteht Russakovskii zufolge darin, dass jede App, die die Genehmigung „android.permission.Internet“ besitzt, dieselben Funktionen nutzen können wie das Logging-Tool. Das sei bei allen Anwendungen der Fall, die Werbung anzeigen oder Online-Zugang haben. Sie können beispielsweise die Liste aller Nutzerkonten einsehen, inklusive E-Mail-Adressen, aktuelle sowie frühere GPS-Standorte, zuletzt gewählte Telefonnummern sowie Angaben zu zuletzt ausgeführten Anwendungen und deren Aktivitäten.
Ein Fehler in einem Update für das HTC Evo 3D ermöglicht es Anwendungen, auf persönliche Nutzerdaten zuzugreifen (Bild: HTC).
Derzeit gebe es nur zwei Möglichkeiten, das Problem zu beheben, so der Forscher weiter. Ein Nutzer müsse auf ein Update von HTC warten oder sein Smartphone rooten, um die Logging-Tools zu löschen. Besitzern der betroffenen HTC-Produkte rät er zu besonderer Vorsicht beim Download von Anwendungen.
HTC sei schon seit dem 24. September über den Fehler informiert, teilten die Sicherheitsforscher mit. Nachdem man keine Rückmeldung vom Hersteller erhalten habe, habe man noch fünf Arbeitstage gewartet und sich dann an die Öffentlichkeit gewandt. „Soweit wir wissen, schaut sich HTC das Problem jetzt an, aber es gibt bisher noch keine Stellungnahme“, schreibt Russakovskii in einem Blogeintrag.
Möglicherweise seien auch andere Mobiltelefone von HTC betroffen, etwa das Evo Shift 4G, das MyTouch 4G Slide, das Sensation und das in den USA angekündigte Vigor, heißt es weiter in Russakovskiis Blog. „Das ist so, als würde man seine Schlüssel unter die Fußmatte legen und erwarten, dass niemand, der sie findet, damit die Tür öffnet.“
Neueste Kommentare
Noch keine Kommentare zu Kritische Sicherheitslücke in HTCs Android-Handys entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.