HTC schreibt mit: Schwere Sicherheitslücke bei Android-Smartphones

Nach Apple hat jetzt auch HTC seinen Datenskandal. Der Blog androidpolice.com berichtet, dass die Apps der Benutzeroberfläche Sense des Smartphone-Herstellers bei zahlreichen Android-Geräten umfangreiche Daten sammeln und diese in einer unverschlüsselten Datei speichern, die sich dementsprechend leicht auslesen lässt.

Gefunden hat die massive Sicherheitslücke der Programmierer Trevor Eckhart. Nachdem HTC fünf Tage lang nicht auf seine Anfragen reagierte, wendete er sich über androidpolice.com an die Öffentlichkeit. Seinen Untersuchungen zufolge verschlüsselt HTC die gesammelten Daten nicht und versteckt sie auch nicht gut vor dem Zugriff von Dritten.

Ungesicherte, gesammelte Daten für fast jede App auslesbar

Eckhart zufolge kann jede App, die auf den betroffenen HTC-Geräten installiert ist und auf das Internet zugreifen darf, unter anderem folgende gespeicherte Daten auslesen:

  • Eine Liste der Nutzerkonten, inklusive E-Mail-Adressen und Synchronisierungs-Status,
  • die letzten benutzten Netzwerke und die letzten gespeicherten GPS-Positionen,
  • Telefonnummern aus dem Telefonprotokoll,
  • Text und Empfänger-Telefonnummer von SMS,
  • System-Protokolle, die so ziemlich alles enthalten, was laufende Apps tun.

Darüber hinaus enthält die von untersuchten HTC-Smartphones angelegte Datei unter anderem:

  • Benachrichtigungen, inklusive Text,
  • Build-Nummer und Versionsnummer von Bootloader, Radio und Kernel,
  • Netzwerk-Info, inklusive IP-Adresse,
  • Informationen zu Speicher, CPU zum Dateisystem und den freien Bereichen sowie zu laufenden Prozessen,
  • eine Auflistung aller installierten Apps, inklusive derer Berechtigungen, User-IDs, Versionen und weiteren Details,
  • die Systemeigenschaften,
  • den Broadcast-Status,
  • dem genutzten Mobilfunkanbieter,
  • Protokoll des Akkus.

Mit der App HtcLoggers.apk ermöglicht HTC selbst anderen Anwendungen den einfachen Zugriff auf die gespeicherten Daten. Laut Eckhart sind bisher unter anderem die US-Modelle Evo 4G, Evo 3D, Thunderbolt, MyTouch 4G Slide, einige Sensations, das Shift 4G, das View 4G und einige weitere Modelle betroffen.

Überprüfen in wie weit das eigene Smartphone betroffen ist

Mit einer von Trevor Eckhart geschriebenen App (direkter Download-Link) kann jeder Besitzer eines Android-Smartphones von HTC leicht überprüfen, wie weit sein Gerät von der Sicherheitslücke betroffen ist. Der einzige wirksame Schutz vor dem unsicheren Datensammelei scheint derzeit nur das Rooten des Handys zu sein. Dann lässt sich die HtcLoggers.apk löschen, aber der Kunde verliert auch die Gewährleistung des Herstellers.

HTC bestätigt Sicherheitslücke und kündigt Patch an

Der US-Blog engadget hat ein Statement von HTC erhalten, in dem das Unternehmen die Siecherheitslücke bestätigt und davon spricht, dass die eigenen Anwendungen keine Gefahr darstellen würden. Eine Gefahr für die Sicherheti seien nur schädliche Anwendungen, der Firma seien aber bisher keine Kunden bekannt, die wirklich ausspioniert wurden. HTC will schnellstmöglich einen Patch veröffentlichen, der die Sicherheitslücke schließt.

Keine News mehr verpassen! – Folgen Sie uns auf Facebook, Twitter oder nutzen Sie unseren RSS-Feed.