HTC hat eine Korrektur für eine Schwachstelle seiner Android-Smartphones bereitgestellt. Die meisten Betroffenen hätten den Patch „bereits im Rahmen regulärer Updates erhalten“, heißt es. Einen separaten Download für alle anderen soll es ab nächster Woche geben. Die Lücke ermöglicht es Apps, die WLAN-Passwörter des Anwenders auszuspionieren.
Zu den Modellen mit der Schwachstelle zählen laut Sicherheitsforscher Bret Jordan Desire HD, Glacier, Droid Incredible, Thunderbolt 4G, Sensation, Desire S und EVO. Sein Kollege Chris Hessing von der Open1X Group hatte den Fehler entdeckt. Gemeinsam veröffentlichen sie jetzt Details dazu, nachdem Google und HTC schon vergangenen September informiert worden waren.
„Das Problem besteht in bestimmten Android-Builds von HTC. Jedes Programm, das auf Funknetze zugreifen kann, hat auch Zugang zu den Log-in-Daten für 802.1x Wi-Fi“, schreibt Jordan. „Ist dies mit einer Internet-Zugriffserlaubnis gepaart, die ja die meisten Apps haben, kann eine bösartige App ohne Probleme alle auf dem Gerät vorhandenen WLAN-Zugriffsdaten (Nutzername, Passowrt und SSID) an einen Server im Internet schicken.“
Jordan vermerkt außerdem, dass sich die Schwachstelle für gezielte Angriffe auf Firmen nutzen ließe, wenn die SSID in irgendeiner Weise den Namen des Unternehmens enthalte. Das Problem sei aber unter Kontrolle: „Google und HTC waren sehr kooperativ bei der Arbeit an der Schwachstelle. Google hat Änderungen am Android-Code vorgenommen, um den Speicher für Zugangsdaten besser zu schützen, und HTC hat Updates für alle derzeit unterstützten Geräte bereitgestellt – sowie manuelle Fixes für nicht mehr unterstützte Geräte.“
Außerdem führte Google laut Jordan einen Code-Scan im Android Market durch. Das Ergebnis: Kein Programm nutzt die HTC-Schwachstelle aus.
Es ist nicht das erste Mal, dass HTCs Android-Modifikationen für eine Sicherheitslücke verantwortlich sind. Im Oktober 2011 war ein anderes Leck gestopft worden. Damals ermöglichten Logging-Werkzeuge von HTCs Oberfläche Sense Apps Zugriff auf die von ihnen registrierten Daten, darunter ein- und ausgehende Anrufe wie auch SMS.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.