Anmelden mit
Registrieren | Anmelden

[UPDATE] HTC Sense verursacht Sicherheitsprobleme

Von , Pierre Dandumont - Quelle: AndroidPolice | B 1 kommentare

Auch wenn bei mobilen Betriebssystemen immer mal wieder Sicherheitsprobleme bekannt geworden sind, scheint eine gerade entdeckte Schwäche erhebliche Auswirkungen auf die Sicherheit privater Daten zu haben. Und diese betrifft ausschließlich einige Smartphones HTCs, die Android als OS nutzen. Allerdings ist das Problem nicht bei dem Google-Betriebssystem zu suchen, sondern in der berühmten HTC-Sense-Oberfläche. Betroffen sind die Modelle EVO 4G, das EVO 3D, das Thunderbolt, das EVO Shift 4G, das MyTouch 4G Slide und das momentan noch nicht erhältliche (aber schon in Kürze erwartete) Vigor.

Dabei ist die Schwachstelle trivial: Die Anwendung HtcLoggers.apk, die auf den betreffenden Telefonen installiert ist, sammelt Informationen und erlaubt es jeder App, die auf das Netz zugreifen kann, diese Daten auch weiter zu verwenden. Das bedeutet natürlich auch, dass die gesammelten Daten an jeden Server versendet werden können.

Die Informationen beinhalten den Namen des Nutzers, die dazugehörigen Emailkonten, die vom GPS-Modul übermittelte Position, schließlich die Auflistung der zuletzt angerufenen Nummern, die SMS-Daten inklusive des Empfängers sowie die Logs des Systems. Selbst die Informationen, die in den Logs anderer Anwendungen gespeichert werden, können genutzt werden. Sogar die spezifische Konfiguration des jeweiligen Geräts kann abgefragt werden, samt der insgesamt installierten Apps, der die gerade in Verwendung sind, des momentanen Batteriestands usw.

Im Augenblick existiert noch keine einfache Lösung für das Problem – abgesehen davon, das HTC-Programm gänzlich zu löschen. Ein schnelles Update wäre an dieser Stelle sicher mehr als wünschenswert. Dann könnte sich der Hersteller auch dazu äußern, warum einem derartigen Programm auf seinen Smartphones nahezu unbegrenzte Zugriffsrechte einräumt.

[Update vom 04. 10. 2011]

Inzwischen hat sich auch HTC selbst zu den Problemen geäußert und ein sogenanntes "reactive Statement" an die Presse herausgegeben. Es lautet wie folgt:

Reactive Statement


HTC takes claims related to the security of our products very seriously. In our ongoing investigation into this recent claim, we have concluded that while this HTC software itself does no harm to customers' data, there is a vulnerability that could potentially be exploited by a malicious third-party application. A third party malware app exploiting this or any other vulnerability would potentially be acting in violation of civil and criminal laws. So far, we have not learned of any customers being affected in this way and would like to prevent it by making sure all customers are aware of this potential vulnerability.

HTC is working very diligently to quickly release a security update that will resolve the issue on affected devices. Following a short testing period by our carrier partners, the patch will be sent over-the-air to customers, who will be notified to download and install it. We urge all users to install the update promptly. During this time, as always, we strongly urge customers to use caution when downloading, using, installing and updating applications from untrusted sources

Mit anderen Worten: Man will schnell aber gründlich prüfen, ob an der Meldung etwas dran ist und dann bei Bedarf schnellstmöglich ein Update herausbringen, das die Lücke stopft.

Kommentarbereich
1 Kommentar anzeigen.
Auf dieser Seiten können keine Kommentare mehr abgegeben werden
Sortieren nach: Neueste zuerst | Älteste zuerst
  • doa , 4. Oktober 2011 19:30
    @blueray
    HTC "verwanzt" seine geräte nicht. beim ersten start wird 1. gefragt ob die daten gesendet werden und 2. sind diese dann anonym und gesichert.
    das problem ist das die anwendung selber nicht gegen zugriffe 3. programme geschützt ist.

    hier kannste es genau lesen (übrigens der entdecker des fehlers)
    http://forum.xda-developers.com/showthread.php?t=901158