HTC hat eine Korrektur für eine Schwachstelle seiner Android-Smartphones bereitgestellt. Die meisten Betroffenen hätten den Patch „bereits im Rahmen regulärer Updates erhalten“, heißt es. Einen separaten Download für alle anderen soll es ab nächster Woche geben. Die Lücke ermöglicht es Apps, die WLAN-Passwörter des Anwenders auszuspionieren.
Zu den Modellen mit der Schwachstelle zählen laut Sicherheitsforscher Bret Jordan Desire HD, Glacier, Droid Incredible, Thunderbolt 4G, Sensation, Desire S und EVO. Sein Kollege Chris Hessing von der Open1X Group hatte den Fehler entdeckt. Gemeinsam veröffentlichen sie jetzt Details dazu, nachdem Google und HTC schon vergangenen September informiert worden waren.
„Das Problem besteht in bestimmten Android-Builds von HTC. Jedes Programm, das auf Funknetze zugreifen kann, hat auch Zugang zu den Log-in-Daten für 802.1x Wi-Fi“, schreibt Jordan. „Ist dies mit einer Internet-Zugriffserlaubnis gepaart, die ja die meisten Apps haben, kann eine bösartige App ohne Probleme alle auf dem Gerät vorhandenen WLAN-Zugriffsdaten (Nutzername, Passowrt und SSID) an einen Server im Internet schicken.“
Jordan vermerkt außerdem, dass sich die Schwachstelle für gezielte Angriffe auf Firmen nutzen ließe, wenn die SSID in irgendeiner Weise den Namen des Unternehmens enthalte. Das Problem sei aber unter Kontrolle: „Google und HTC waren sehr kooperativ bei der Arbeit an der Schwachstelle. Google hat Änderungen am Android-Code vorgenommen, um den Speicher für Zugangsdaten besser zu schützen, und HTC hat Updates für alle derzeit unterstützten Geräte bereitgestellt – sowie manuelle Fixes für nicht mehr unterstützte Geräte.“
Außerdem führte Google laut Jordan einen Code-Scan im Android Market durch. Das Ergebnis: Kein Programm nutzt die HTC-Schwachstelle aus.
Es ist nicht das erste Mal, dass HTCs Android-Modifikationen für eine Sicherheitslücke verantwortlich sind. Im Oktober 2011 war ein anderes Leck gestopft worden. Damals ermöglichten Logging-Werkzeuge von HTCs Oberfläche Sense Apps Zugriff auf die von ihnen registrierten Daten, darunter ein- und ausgehende Anrufe wie auch SMS.
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…