von ,
Twittern 54 Teilen 105

HTC: Schwere Sicherheitslücke in vielen Androidphones [UPDATE]

Das Blog Android Police veröffentlicht umfassende Informationen zu einer schweren Sicherheitslücke in den meisten modernen HTC-Androidgeräten. Ein ganzes Set von Applikationen, die zur Systemausstattung des Hauses HTC gehören, bieten umfassende Informationen zum Telefon und seiner Nutzung anderen Apps feil, sofern diese über das Recht verfügen, eine Internetverbindung aufzubauen. Es gibt kaum eine App, die über dieses Recht nicht verfügt.

HTCs hausgemachtes Sicherheitsloch ist groß, richtig groß

HTC liefert in der Standardfirmware mit Sense-Oberfläche eine ganze Suite von Logging Tools mit. Diese Tools sammeln unter anderem folgende Informationen:

  • die Liste der Nutzerkonten, mit E-Mail-Adressen und aktuellem Sync-Status
  • das letzte bekannte Netzwerk mit GPS-Standort und einigen früheren Standorten (Locationgate lässt grüßen)
  • Telefonnummern aus dem Telefonprotokoll
  • SMS-Daten mit Telefonnummern und dem verschlüsselten SMS-Text (Entschlüsselung wahrscheinlich möglich)
  • System-Protokolle, die alles beinhalten, was deine installierten Apps so tun

Weiterhin loggen die HTCs:

  • Aktive Benachrichtigungen inklusive Benachrichtigungstext
  • Build-Nummer, Bootloader-, Radio- und Kernel-Version
  • Netzwerk-Info, inkl. IP-Adresse
  • Infos zu Speicher und CPU
  • Infos zum Dateisystem und den freien Bereichen auf etwaigen Medien
  • Laufende Prozesse
  • die aktuellen Snapshots aller laufenden Prozesse und Threads
  • die Liste aller installierten Apps, inklusive derer Berechtigungen, User IDs, Versionen und anderen Details
  • die Systemeigenschaften
  • den Broadcast-Status
  • und viele weitere Informationen

HTC Evo 4G
HTC Evo 4G: Gibt mehr Daten raus als man denken würde...

Trevor Eckhart, der Mann, der all dies herausfand und dem Blog Android Police zur Verfügung stellte, nachdem HTC sich fünf Werktage lang nicht auf Eckharts Anfragen mit Hinweis auf die gefundenen Probleme gemeldet hatte, war nicht nur erstaunt, sondern nachgerade erschüttert über den Umfang der Datensammelei. Auf einem HTC Evo 3D eines Android Police Bloggers betrug die Größe des Logfiles 3,5 MB, was riesig ist, wenn man bedenkt, dass nur Textinformationen gesammelt werden.

HTC: Datensammelei ohne adäquate Absicherung der gesammelten Daten

Nun könnte man sich über die Datensammelwut HTCs aufregen. Die würden sich vermutlich darauf zurück ziehen, dies geschehe nur zum Besten der User, denn immerhin könne man so weit aussagekräftigeren Support leisten, sollte mal etwas schief gehen.

Abgesehen davon, dass es sicherlich zum guten Ton gehörte, die Nutzer wenigstens darüber zu unterrichten, welche Daten man in welch massivem Umfang erhebt, sollte es selbstverständlich sein, dass die Daten sicher im Innersten des Smartphones verschlossen werden und nur im Supportfalle von HTC-Personal zutage gefördert werden können.

Genau diese Sorgfalt lässt HTC jedoch vermissen. Vielmehr kann jede App mit der Berechtigung, auf das Internet zuzugreifen, an die erhobenen Daten gelangen. Schuld ist eine Applikation namens HtcLoggers.apk, die vollen Zugriff auf die Daten erteilt, sobald jemand den entsprechenden lokalen Port anspricht.

HtcLoggers.apk: Persönliche Daten frei Haus mit komfortabler Bedienoberfläche

HtcLoggers.apk verfügt sogar über eine Bedienoberfläche und gibt über den Befehl :help: eine Liste aller möglichen Befehle aus, damit Interessenten an den Statistikdaten gar nicht lange rumprobieren müssen. Das Interface ist auch nicht etwa mittels Username/Passwort geschützt, sondern völlig frei zugänglich. HtcLoggers.apk versucht sogar, Root-Berechtigung zu erlangen, um so noch weit mehr Daten, wie zB den Status des WLan, abfragen zu können.

Folgende HTC-Smartphones sind laut Eckhart betroffen: Das Evo 4G, Evo 3D, Thunderbolt und das MyTouch 4G Slide wohl vollumfänglich, weiterhin einige Sensations, das Shift 4G, das View 4G und einige andere. Die Kommentare unter dem Blogpost bei Android Police geben weiteren Aufschluss.

htc evo3d
HTC Evo 3D: Auch ein Vertreter der Datensammler-Devices der Taiwanesen

Eckhart hat als Proof of Concept eine APK entwickelt, mit der jeder HTC-Kunde selber prüfen kann, inwieweit sein Smartphone betroffen ist. Ein Workaround existiert derzeit nur, wenn man sein HTC zu rooten bereit ist. Dann lässt sich HtcLoggers.apk löschen, das Problem ist eingedämmt. Ist man nicht bereit, den Verlust der Gewährleistung, der mit dem Rooten einhergeht, in Kauf zu nehmen, bleibt nur das Warten auf HTC und ein entsprechendes Update.

Eckhart ist mit seinen Ergebnissen zuerst auf HTC zugegangen, wurde aber nicht ernst genommen. Erst jetzt, nach der Veröffentlichung seiner Ergebnisse auf Android Police wird HTC flott. Wie AllThingsD heute berichtet, hat HTC eine Untersuchung der Angelegenheit angekündigt.

Warum muss man Firmen immer erst Feuer unter dem Hintern machen, bevor sie sich zu einer Reaktion herab lassen?

[UPDATE 4.10.: HTC bestätigt die Sicherheitslücke und verspricht einen schnellen Patch.]

Weitere Artikel zu HTC und Android

Kommentare: 4 Tweets: 54 Facebook-Likes: 105
03.10.2011

Das interessiert dich bestimmt auch

4 Answers

  1. von cephei 03.10.2011 (22:16Uhr) 1.

    gerade rechtzeitig zum iOS release.

  2. von HTC: Schwere Sicherheitslücke in vielen… 03.10.2011 (23:53Uhr) 2.

    [...] Weiterlesen bei t3n >> [...]

  3. von HTC speichert Benutzerdaten bei Androidg… 04.10.2011 (01:54Uhr) 3.

    [...] Unter http://t3n.de/news/htc-schwere-sicherheitslucke-vielen-androidphones-334060/ ist beschrieben, wie man herausfinden kann, ob das eigene Android-Gerät jenes Problem hat und wie man sich dem entledigen kann. Wer aber das Problem beiseite schaffen will, muss gewillt sein, sein Gerät zu rooten oder aber auf ein Update warten. Wie lange? Das weiß wohl noch nicht einmal HTC. [...]

  4. von Dennis 03.02.2012 (22:16Uhr) 4.

    Lehrreicher Blogpost. Cool, wenn man sowas auch mal aus einem anderen Blickwinkel ansehen kann.

Deine Meinung


(wird nicht veröffentlicht)