HTC hat eine Korrektur für eine Schwachstelle seiner Android-Smartphones bereitgestellt. Die meisten Betroffenen hätten den Patch „bereits im Rahmen regulärer Updates erhalten“, heißt es. Einen separaten Download für alle anderen soll es ab nächster Woche geben. Die Lücke ermöglicht es Apps, die WLAN-Passwörter des Anwenders auszuspionieren.
Zu den Modellen mit der Schwachstelle zählen laut Sicherheitsforscher Bret Jordan Desire HD, Glacier, Droid Incredible, Thunderbolt 4G, Sensation, Desire S und EVO. Sein Kollege Chris Hessing von der Open1X Group hatte den Fehler entdeckt. Gemeinsam veröffentlichen sie jetzt Details dazu, nachdem Google und HTC schon vergangenen September informiert worden waren.
„Das Problem besteht in bestimmten Android-Builds von HTC. Jedes Programm, das auf Funknetze zugreifen kann, hat auch Zugang zu den Log-in-Daten für 802.1x Wi-Fi“, schreibt Jordan. „Ist dies mit einer Internet-Zugriffserlaubnis gepaart, die ja die meisten Apps haben, kann eine bösartige App ohne Probleme alle auf dem Gerät vorhandenen WLAN-Zugriffsdaten (Nutzername, Passowrt und SSID) an einen Server im Internet schicken.“
Jordan vermerkt außerdem, dass sich die Schwachstelle für gezielte Angriffe auf Firmen nutzen ließe, wenn die SSID in irgendeiner Weise den Namen des Unternehmens enthalte. Das Problem sei aber unter Kontrolle: „Google und HTC waren sehr kooperativ bei der Arbeit an der Schwachstelle. Google hat Änderungen am Android-Code vorgenommen, um den Speicher für Zugangsdaten besser zu schützen, und HTC hat Updates für alle derzeit unterstützten Geräte bereitgestellt – sowie manuelle Fixes für nicht mehr unterstützte Geräte.“
Außerdem führte Google laut Jordan einen Code-Scan im Android Market durch. Das Ergebnis: Kein Programm nutzt die HTC-Schwachstelle aus.
Es ist nicht das erste Mal, dass HTCs Android-Modifikationen für eine Sicherheitslücke verantwortlich sind. Im Oktober 2011 war ein anderes Leck gestopft worden. Damals ermöglichten Logging-Werkzeuge von HTCs Oberfläche Sense Apps Zugriff auf die von ihnen registrierten Daten, darunter ein- und ausgehende Anrufe wie auch SMS.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…