Kritische Sicherheitslücke in HTCs Android-Handys entdeckt

Der Fehler steckt in einem von HTC ausgelieferten Update. Betroffen sind unter anderem das Evo 3D, das Evo 4G und das Thunderbolt. Mit dem Internet verbundene Apps haben Zugriff auf persönliche Daten wie E-Mail-Adressen und Telefonnummern.

Mehrere Android-Smartphones von HTC weisen einen Software-Fehler auf, der es beliebigen Anwendungen mit Internetzugriff ermöglicht, auf persönliche Daten wie SMS, Standortinformationen, E-Mail-Adressen und Telefonnummern zuzugreifen. Gefunden haben die Lücke die Sicherheitsforscher Artem Russakovskii, Justin Case und Trevor Eckhard. Sie steckt in Logging-Anwendungen, die HTC kürzlich im Rahmen eines Software-Updates installiert hatte. Betroffen sind unter anderem die Geräte Evo 3D, Evo 4G und Thunderbolt.

Die Tools sollen dabei helfen, aus der Ferne Probleme auf einem HTC-Gerät zu analysieren. Der Fehler besteht Russakovskii zufolge darin, dass jede App, die die Genehmigung „android.permission.Internet“ besitzt, dieselben Funktionen nutzen können wie das Logging-Tool. Das sei bei allen Anwendungen der Fall, die Werbung anzeigen oder Online-Zugang haben. Sie können beispielsweise die Liste aller Nutzerkonten einsehen, inklusive E-Mail-Adressen, aktuelle sowie frühere GPS-Standorte, zuletzt gewählte Telefonnummern sowie Angaben zu zuletzt ausgeführten Anwendungen und deren Aktivitäten.

Ein Fehler in einem Update für das HTC Evo 3D ermöglicht es Anwendungen, auf persönliche Nutzerdaten zuzugreifen (Bild: HTC).
Ein Fehler in einem Update für das HTC Evo 3D ermöglicht es Anwendungen, auf persönliche Nutzerdaten zuzugreifen (Bild: HTC).

Derzeit gebe es nur zwei Möglichkeiten, das Problem zu beheben, so der Forscher weiter. Ein Nutzer müsse auf ein Update von HTC warten oder sein Smartphone rooten, um die Logging-Tools zu löschen. Besitzern der betroffenen HTC-Produkte rät er zu besonderer Vorsicht beim Download von Anwendungen.

HTC sei schon seit dem 24. September über den Fehler informiert, teilten die Sicherheitsforscher mit. Nachdem man keine Rückmeldung vom Hersteller erhalten habe, habe man noch fünf Arbeitstage gewartet und sich dann an die Öffentlichkeit gewandt. „Soweit wir wissen, schaut sich HTC das Problem jetzt an, aber es gibt bisher noch keine Stellungnahme“, schreibt Russakovskii in einem Blogeintrag.

Möglicherweise seien auch andere Mobiltelefone von HTC betroffen, etwa das Evo Shift 4G, das MyTouch 4G Slide, das Sensation und das in den USA angekündigte Vigor, heißt es weiter in Russakovskiis Blog. „Das ist so, als würde man seine Schlüssel unter die Fußmatte legen und erwarten, dass niemand, der sie findet, damit die Tür öffnet.“

Themenseiten: Android, HTC, Mobile

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Edward Moyer, Stefan Beiersmann
Autor: Edward Moyer, Stefan Beiersmann
Freier Mitarbeiter
Edward Moyer, Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Kritische Sicherheitslücke in HTCs Android-Handys entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *