Datenleck bei HTC-Handys entdeckt, Update kommt

Aus einem aktuellen Artikel des Online-Dienstes 'Android Police' geht hervor, dass einige Smartphones des taiwanischen Handyherstellers HTC viel zu viele Daten sammeln und diese nur unzureichend schützen.
Smartphone, Htc, Wildfire
HTC
So sollen zahlreiche Applikationen aufgrund einer Sicherheitslücke der aktuellen Android-Version problemlos auf diese sensiblen Informationen zugreifen können. Hierfür benötigt eine installierte Anwendung lediglich die Berechtigung, auf das mobile Internet zugreifen zu dürfen ("android.permission.INTERNET").

Dabei spielt es keine Rolle, ob sie dies nur tut, um z. B. Werbung darzustellen. Jede Applikation, die eine Verbindung zum Internet aufbaut, verfügt über diese Berechtigung. Sämtliche Informationen werden über die App "HtcLoggers.apk" gesammelt und stehen jedem zur Verfügung, der danach "fragt", indem er einen lokalen Port öffnet.


Hierbei scheint es sich um alle Apps zu handeln, die über die vorher erwähnte Berechtigung "INTERNET" verfügen - einschließlich der App "HtcLoggers". Doch damit nicht genug: Diese App ist darüber hinaus auch noch im Besitz eines eigenen Interfaces samt zahlreichen Kommandos zur Steuerung.

Um auf besagtes Interface zugreifen zu können, sind allerdings weder ein Nutzername noch ein Passwort nötig. In dem Bericht wird "HtcLoggers" als einziger Datensammler betitelt. Es ist jedoch davon auszugehen, dass bis dato wahrscheinlich lediglich ein Bruchteil der Informationen aufgedeckt werden konnten, auf die der Zugriff durch diese App möglich ist.

Auf welche Informationen haben die Apps Zugriff?
Gemäß den Angaben von Justin Case und Trevor Eckhart können sich die Apps unter anderem Zugriff zu folgenden Informationen verschaffen: Telefonnummern aus der Anruferliste, SMS-Daten (Telefonnummern, Text), ungelesene Benachrichtigungen aus der Statusleiste (samt Text), Benutzer-Accounts, E-Mail-Adressen, Synchronisationsstatus, zuletzt verwendete Netzwerke, Netzwerkinformationen und IP-Adresse, System-Logs, installierte Applikationen, Berechtigungen, Nutzer-IDs, Versionen, aktueller Standort, aktive und frühere Übertragungen, Systemeinstellungen sowie Informationen hinsichtlich Speicher, CPU, Dateisystem und aktiven Diensten.

HTC SicherheitslückeHTC SicherheitslückeHTC SicherheitslückeHTC Sicherheitslücke

Welche Smartphones sind betroffen?
Von der Sicherheitslücke sollen nur Geräte betroffen sein, die eine originale ROM verwenden. Bei Geräten mit so genannten "Custom ROMs" soll das Problem hingegen nicht bestehen. Laut 'Android Police' zählen das Evo 3D, das Evo 4G sowie das Thunderbolt zu den als betroffen und bereits verifizierten Geräten. Doch auch beim Evo Shift 4G, dem MyTouch Slide 4G, dem Vigor, dem Sensation sowie einigen weiteren Geräte könnte die Problematik bestehen.

Wie kann man überprüfen, ob das eigene Gerät die Sicherheitslücke aufweist?
Trevor Eckhart hat extra ein "Proof of Concept" (zu Deutsch: Machbarkeitsstudie) erstellt, damit jeder selbst prüfen kann, ob das eigene Gerät die Sicherheitslücke aufweist. Hierbei handelt es sich um eine Open-Source-App. Diese nutzt die Berechtigung "INTERNET" und zeigt es entsprechend an, wenn sie problemlos auf alle Daten zugreifen kann.

Wie kann man die Sicherheitslücke beseitigen?
Ohne "Root" (Vollzugriff) oder einem Update von HTC lässt sich die Sicherheitslücke nicht beseitigen. Wer das Risiko gering halten möchte, sollte auf gar keinen Fall unüberlegt Apps herunterladen. Dies ist darauf zurückzuführen, dass ohne weitere Informationen nicht ersichtlich ist, ob diese Daten sammeln und versenden. Alternativ kann die APK auch mit Hilfe eines Datei-Managers unter /system/app/HtcLoggers.apk gelöscht werden. Hierzu ist allerdings wieder der vorher erwähnte Vollzugriff von Nöten, der jedoch den Garantiebedingungen widerspricht.

Was wird HTC gegen die Sicherheitslücke unternehmen?
Trevor Eckhart hat nach eigenen Angaben bereits am 24. September Kontakt zu HTC aufgenommen und das Unternehmen über die Sicherheitslücke informiert. Der taiwanische Hersteller hat inzwischen gegenüber 'Engadget' angekündigt, dass man die Angelegenheit so schnell wie möglich untersuchen und ein Update zur Verfügung stellen werde.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
HTCs Aktienkurs in Euro
Beliebte HTC Downloads
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!