Kritische Sicherheitslücke in HTCs Android-Handys entdeckt

Mehrere Android-Smartphones von HTC weisen einen Software-Fehler auf, der es beliebigen Anwendungen mit Internetzugriff ermöglicht, auf persönliche Daten wie SMS, Standortinformationen, E-Mail-Adressen und Telefonnummern zuzugreifen. Gefunden haben die Lücke die Sicherheitsforscher Artem Russakovskii, Justin Case und Trevor Eckhard. Sie steckt in Logging-Anwendungen, die HTC kürzlich im Rahmen eines Software-Updates installiert hatte. Betroffen sind unter anderem die Geräte Evo 3D, Evo 4G und Thunderbolt.

Die Tools sollen dabei helfen, aus der Ferne Probleme auf einem HTC-Gerät zu analysieren. Der Fehler besteht Russakovskii zufolge darin, dass jede App, die die Genehmigung „android.permission.Internet“ besitzt, dieselben Funktionen nutzen können wie das Logging-Tool. Das sei bei allen Anwendungen der Fall, die Werbung anzeigen oder Online-Zugang haben. Sie können beispielsweise die Liste aller Nutzerkonten einsehen, inklusive E-Mail-Adressen, aktuelle sowie frühere GPS-Standorte, zuletzt gewählte Telefonnummern sowie Angaben zu zuletzt ausgeführten Anwendungen und deren Aktivitäten.


Ein Fehler in einem Update für das HTC Evo 3D ermöglicht es Anwendungen, auf persönliche Nutzerdaten zuzugreifen (Bild: HTC).

Derzeit gebe es nur zwei Möglichkeiten, das Problem zu beheben, so der Forscher weiter. Ein Nutzer müsse auf ein Update von HTC warten oder sein Smartphone rooten, um die Logging-Tools zu löschen. Besitzern der betroffenen HTC-Produkte rät er zu besonderer Vorsicht beim Download von Anwendungen.

HTC sei schon seit dem 24. September über den Fehler informiert, teilten die Sicherheitsforscher mit. Nachdem man keine Rückmeldung vom Hersteller erhalten habe, habe man noch fünf Arbeitstage gewartet und sich dann an die Öffentlichkeit gewandt. „Soweit wir wissen, schaut sich HTC das Problem jetzt an, aber es gibt bisher noch keine Stellungnahme“, schreibt Russakovskii in einem Blogeintrag.

Möglicherweise seien auch andere Mobiltelefone von HTC betroffen, etwa das Evo Shift 4G, das MyTouch 4G Slide, das Sensation und das in den USA angekündigte Vigor, heißt es weiter in Russakovskiis Blog. „Das ist so, als würde man seine Schlüssel unter die Fußmatte legen und erwarten, dass niemand, der sie findet, damit die Tür öffnet.“

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

20 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

22 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

23 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago