Werbung
Eine bislang unbekannte Zahl an HTC Smartphones mit Android Betriebssystem besitzt eine unfreiwillige Hintertür, über die nahezu jede beliebige Software persönliche Daten des Nutzers auslesen kann. Diese Daten werden von einem Logging-Programm von HTC gesammelt und auf dem Gerät gespeichert. Allerdings führen fehlerhafte Einstellungen seitens des Herstellers dazu, dass momentan jede Applikation mit Internetzugriff diese gesammelten Daten auslesen kann.
Die Seite Android Police hat bisher mehrere aktuelle Geräte identifiziert, die diese Lücke aufweisen. Betroffen sind demnach die Smartphones EVO 3D, EVO 4G und das HTC Thunderbolt. Zudem gibt es Hinweise, dass das EVO Shift 4G, MyTouch 4G Slide und diverse Sensation-Versionen ebenfalls betroffen sind. Das Programm htclogger wurde offenbar von HTC zur leichteren Fehlersuche mit der aktuellsten offiziellen Software-Version eingespielt. Dabei sammelt man unter anderem Informationen in welchem Netz sich der Nutzer befindet, GPS-Daten, die letzten Aufenthaltsorte, Anruferlisten, SMS-Daten samt Telefonnummer und verschlüsseltem Text, Systemlogs und vieles mehr.
Alle Programme, die die Berechtigung "android.permission.INTERNET" aufweisen, haben derzeit offenbar Zugriff auf die mitgeschnittenen Infos. Jede Applikation, die Inhalte aus dem Netz laden oder senden möchte, kann diese Berechtigung erfragen. Üblicherweise wird sie diese vom Nutzer auch erhalten, denn der Zugriff auf andere Inhalte und Funktionen des Gerätes sind normalerweise eingeschränkt und müssen gesondert genehmigt werden. Allerdings lassen sich die Aufzeichnungen des htcloggers über einen lokalen Port abrufen, welcher ebenfalls unter die Internet-Berechtigung fällt.
Um Zugriff auf diese Einträge zu erhalten sind weder Passwort noch Nutzername nötig. Android Police hat eine App veröffentlicht, die den Zugriff auf viele der gesammelten Daten bereits ermöglicht und mit der die Existenz der Lücke auf anderen Geräten getestet werden kann. Ein Video mit einer Demonstration der Lücke hat man ebenfalls bereitgestellt. Derzeit lässt sich das Problem nur mit der Entfernung des HTC Loggers beheben, was allerdings nur auf Geräten mit Root-Zugriff möglich ist. Benutzer von alternativen ROMs sind derzeit nicht betroffen.
Unklar ist, warum HTC überhaupt diese massive Anzahl an Daten sammelt und auf dem Gerät speichert. Auch der einfache Zugriff darauf ist ungewöhnlich oder außergewöhnlich nachlässig. Sollte HTC tatsächlich bewusst diese Menge an Daten bei allen Geräten sammeln, wäre das auch bei erschwertem Zugriff zumindest bedenklich. Die Finder der Lücke hatten HTC bereits am 24. September informiert, aber keine Antwort erhalten. Eine Reaktion von HTC gibt es mittlerweile, diese erfolgte aber erst nach der Veröffentlichung des Problems durch die Entdecker. Die Äußerungen von HTC besagen, dass man die Vorwürfe so schnell wie möglich prüfen wolle und falls diese korrekt seien, werde man die Lücken per Update beheben.
Weiterführende Links: