Über einen Tweet von @tchibomann wurden wir auf einen Artikel von Android Police hingewiesen. Und dieser dürfte allen HTC-Kunden, die ein Android-Gerät in der Tasche mit sich tragen, übel aufstoßen. Offenbar gibt es eine gravierende Sicherheitslücke, über die manipulierte Apps, die eigentlich nur die Berechtigung android.permission.INTERNET benötigen nahezu alle persönlichen Daten auf dem Telefon auslesen und versenden. Diese Berechtigung wird immer dann benötigt, will eine App auf das Web zugreifen. Das dürfte bei der Vielzahl aller Apps der Fall sein. Sprich: Es ist alles Andere als verdächtig, will eine App eben dieses Recht für sich beanspruchen.
Das für HTC wirklich Fatale ist aber, dass der Hardware-Hersteller laut Android Police in einigen der vergangenen Updates für seine Telefone jede Menge Daten gesammelt hat. Diese "Logger" legen diese Daten einem bestimmten Ort auf dem Telefon ab. Diese Daten wurden durch HTC offenbar nicht richtig geschützt, so dass "böswillige" Apps direkt auf den großen Datenpool, der normalerweise unter Android niemals möglich wäre, zugreifen kann.
Laut Artikel bei Android Police kann dann auf die folgenden Daten zugegriffen werden:
- Die Liste aller Nutzer-Accounts auf dem Telefon, inkl. der E-Mail Adressen und dem Sync Status für jeden dieser Accounts
- Das letzte bekannte Netzwerk, sowie alle GPS-Daten, als auch eine eingeschränkte History aller getrackten Orte
- Telefonnummern aus dem Telefon-Log
- SMS-Daten, inkl. aller Nummern und dem verschlüsselten Text
- System-Dateien
Laut Android Police geht es aber noch weiter. Es war den Jungs möglich auf jede Menge weitere Telefondaten, wie die laufenden Prozesse, der Liste der installierten Apps, CPU-Infos, usw. zuzugreifen. Für was diese Daten allerdings nützlich sein sollen...? Da ist es schon beunruhigender, dass die durchaus sensiblen Daten auf fast allen HTC-Modellen so offen zugänglich zu sein scheinen.
Wir können dies aktuell nicht nachprüfen. Allerdings scheint der Artikel sehr plausibel.
Deswegen der Aufruf an die Community: Bitte prüft das nach und helft und das zu verifizieren!
Die Sicherheitslücke wurde bereits am 24. September bekannt. Allerdings konnten die o. g. Daten jetzt erst vollständig ausgewertet werden. Übrigens: HTC ist auf hält sich bisher mit Kommentaren noch deutlich zurück. Mal sehen, ob sie das jetzt noch können, nachdem die Story so hochgekocht ist. Offenbar gibt es übrigens für dieses Problem noch keinen sicheren Fix.
Wie vorhin schon bei Twitter geschrieben: Da hat sich HTC ein dickes Ding geleistet...
Auch interessant
Kommentare
> "Is ja ne Frechheit von HTC."
Ein Fehler ist ein Fehler und keine Frechheit. Frechheit wird es erst wenn der Hersteller es absichtlich macht (z.B. wie mit den Standortdaten beim iPhone, aber ads hat auch nicht viele wirklich gestört).
Wie bereits erwähnt wurde kann man die Logger-App löschen, dann dürften auch keine Logs mehr geschrieben werden und fertig.
Innerhalb von nichtmal einer Woche kann kein Hersteller solch ein Update liefern, falls das wirklich ewig dauert (sagen wir 2-3 Monate) dann kann man sagen, dass die Dauer des Updates eine Frechheit ist. Denn das hat die Firma in der Hand. Fehler zu vermeiden hat keiner in der Hand, man kann sie höchstens minimieren. Ob hier eine Qualitätskontrolle schlecht gemacht wurde können wir aber nicht einschätzen und so wie sich der Fehler für mich anhört wäre er auch nicht gefunden worden.
Also ruhig bleiben. So lange es noch nicht mal Apps gibt die das ausnutzen ist es eh egal.
Ja "toll". Mein HTC Sensation hat dieses Sense 3.0 drauf... Suche auch öfters nach Updates am Gerät, aber bisher Gibtel nix. Was kann man da machen? Alle Apps löschen? Oder auf gewisse "Rechte" achten? Is ja ne Frechheit von HTC.
Da hast du wohl recht. Es wäre wohl nicht nötig gewesen den Text der SMS mit zu speichern. Ich weiß nicht wie eine SMS aufgebaut ist, ich denke, sie haben sich da nur das "zerlegen" sparen wollen. Ich unterstelle da keine Absicht die Daten "haben zu wollen", warum auch, was hätten sie von ein paar SMS, die eh meist nur uninteressante Infos wie "treffen wir uns heut Abend", "Alles gute zum Geburtstag" und dergleichen enthalten.
Ich finde es einfach nur ärgerlich, dass man an die Daten so leicht rankommt. Das die Daten gesammelt werden finde ich nicht so ungewöhnlich. Ich hoffe der Patch kommt bald.
Ich bin gespannt ob htc da noch ärger bekommt wie Apple damals mit der großen Klage gegen die Ortsdaten.
Weiß man überhaupt wie diese Massenklage ausging?
Naja zugegeben kann ich auch nicht sagen wie es sich konkret mit dem Briefgeheimnis und SMS verhält. Dennoch glaube ich kaum, das ein mitschreiben einfach so legal ist, aber das ist eine frage für die Rechtsauslegung.
Was die logs angeht, ist auch nicht das Problem das generell logs gemacht werden. Ich weiss auch das überall logs geschrieben werden.
Mein Problem ist der Inhalt der LogFiles. Ich komm zugegeben nicht aus dem Bereich der Anwendersoftware und kenne mich nicht mit den Datenschutzrichtlinien in diesem Gebiet aus. Aber generell alles zu logen samt Inhalten, Nachrichten usw. halte ich dennoch nicht für Verhältnismäßig.
Da ich mich bisher nicht mit dem Thema konkret beschäftigt habe, weiß ich zugegeben nicht was bei anderen Betriebssystemen konkret gelogt wird.
Auch wenn ich wahrscheinlich diskreditiert werde, halte ich das logging von solch sensiblen daten für sehr zweifelhaft, da logs den entwickler nunmal vollständig und ohne kontrolle zur verfügung stehen
ARHD 6.1.0 -> HtcLogger.apk gelöscht, Neustart -> App weg, Phone läuft
InsertCoin (Desire) 1.1.3 hat diese HtcLogger.apk auch nicht drin, Obwohl Sense,...
http://www.engadget.com/2011/10/04/htc-confirms-security-hole-says-patch-is-incoming/
@Marcus B.
Holz
Das wäre mir jetzt neu, dass SMS unter das Briefgeheimnis fallen. Warum sollten sie, wenn nichtmal E-Mails unter dieses fallen. SMS sind nie als "Brief" gedacht gewesen.
Logs werden überall gespeichert, alle Betriebssysteme tun das und auch sämtliche Server in allen Bereichen tun dies. Logfiles werden sehr oft benötigt um Fehler aller Art zu finden. Es ist also vollkommen normal was hier passiert. Das einzige Problem ist, dass die Daten nicht gut genug geschützt sind. htc jetzt vorzuwerfen, dass sie überhaupt Logs anlegen ist Käse und geht an der Realität vorbei.
Ich hoffe das bald ein Update kommt, für diejenigen die es betrifft. Ich bin da aber zuversichtlich, htc war ja schon immer ganz gut in Sachen Updates.
Btw. Fallen SMS nicht unter das Briefgeheimnis? Mit welchem recht werden diese ausserhalb des wissens des Benutzers gespeichert? Ich mein das ist (fast) wie wenn die Post Briefe Scannen und verschlüsseln würde. Für spätere Fehleranalysen... Wobei man dann nicht zugestelle Briefe nachfordern könnte... hat auch seinen charm
Also dass die logs für die rekonstruktion von fehlerzuständen gedacht kann ich mir sehr gut vorstellen... jedoch frag ich mich wieso so intensiv daten an einem ort gesammelt werden, ohne das der nutzer einfluss darauf hat. Zudem frage ich mich für welche Fehlerfälle diese Daten so detailiert gebraucht werden, mal abgesehen davon, dass der schutz der logs sträflich vernachlässigt wurde.
An alle "was habt ihr zu verheimlichen" Aussagen. Missbrauchsmöglichkeiten gibts da viele. Ein gut geführtes Telefonbuch eignet sich gut zum verkauf an Datensammler. Auch Telefonnummern sind nicht uninteressant. Zudem gibt es bestimmt auch Personen die ihr Android geschäftlich nutzen möchten und ab dann spätestens sind nich alle Informationen "open scource"
@Ryan
Ey echt? AndroidPit filtert Blogs raus?? Find ich noch Skandalöser als htc und Swisscom zusammen!
@Androidpit
Warum macht ihr sowas??
Was die Sicherheitslücke angeht:
htc sammelt Nutzerstatistiken wenn man das zulassen will.
(Abfrage beim Einrichten) Schonmal daran gedacht dass es dafür dienen könnte????
@ fae: der link zu der quelle ist im ersten satz des blogs..^^
Wen es interessiert, hier ist die Quelle:
http://www.androidpolice.com/2011/10/01/massive-security-vulnerability-in-htc-android-devices-evo-3d-4g-thunderbolt-others-exposes-phone-numbers-gps-sms-emails-addresses-much-more/
die apk ist auf meinem Sensation (T-Mobile Branding) nicht zu finden.
@Android Pit Team:
Das Bild ist übrigens ziemlich IRREFÜHREND
Da PASSWÖRTER NICHT BETROFFEN sind.
btw: Mein Blog den ich vor über einer Woche hier auf AndroidPit gepostet hab, das Swisscom Kunden mit Sensation,Evo3d,DesireS seit 2 Monaten massive Verbindungseinschränkungen/Probleme beim Telefonieren haben ist viel "skandalöser"...
ihr schaltet ihn aber wohl niemals frei -.-
Also wenn ich das richtig verstanden habe betrifft es nur Sense 3.0 und damit kein Gerät aus der Desire-Reihe, sondern nur die Geräte, die 2011 auf dem Markt kamen, also hauptsächlich Sensation und Evo.
Auch ist es, so wie das für mich klingt, einfach so, dass htc die Logdaten wo gespeichert hat, wo sie nicht sicher genug sind. htc-Bashing ala "Ich bin froh kein htc zu haben" ist also übertrieben.
@Christian:
Habe ich behauptet, dass man Samsung vollkommen vertrauen kann? Ich glaube nein, nur das ich froh bin kein HTC zu haben nach der "Enthüllung"! ;)
...
omg ich hab grad ne SMS von nem Hacker bekommen!
Er hat meine HTC Logs ausgewertet und erzählt nun allen das mein Handy letzte Woche 2 mal abgestürzt ist!
...
;)
Und ja: Ich hab heute Morgen nen Clown gefrühstückt.
@Sascha M.
Von Passwörtern war doch nie die rede? Ausser du verschickst deine Logindaten per SMS (was ohnehin nicht sehr empfehlenswert ist)
Nimmt mich jetzt echt wunder, was ihr alle so zu verstecken habt xD
Wenn ruft ihr denn heimlich an ? ^.-
Nein ernsthaft. Sich so aufregen, aber dann Communities wie Facebook/ Apps wie Angry Birds etc. haben...
(Angry Birds hat seit dem neusten Update auch die Möglichkeit auf SMSen zuzugreiffen.)
verstehe wer will.
@Ole Shoe: Der Mail-Support von HTC ist ja bekannt als einer der besonders kompetenten Art. Du hättest anstelle des HTC-Service auch deine Oma oder deinen Hund fragen können zu der Problematik...
Puh, ein Glück habe ich Oxygen 2.3 auf meinem Desire laufen.
Zitat aus der Antwortmail von HTC:
>
Um Ihr Problem zu lösen, würden wir Ihnen folgende Vorgehensweise vorschlagen:
Dieser Problem ist uns leider unbekannt.
Soweit wir wissen existiert diese Porblem nicht.
Unsere Andorid Geräte sind genau so wir jeder andere Andorid Gerät.
<
Besonders der letzte Punkt zur Problemlösung hört sich ein bisschen nach: Kauf dir doch ein anderes Android-Phone ... sind eh alle gleich. Vielen Dank für diese Information, HTC !
Wenn ich das richtig verstanden habe, loggt HTC diese Dinge um später BUGs oder sonstige Fehler schneller finden zu können. Da werden ja wohl keine sensiblen Daten wie Passwörter gespeichert werden. Andernfalls ist das für mich schon ein Grund die Finger von HTC zu lassen.
Und wenn Passwörter nicht getrackt werden, wo ist jetzt der große Schaden?
Das ist die Liste mit den gespeicherten Sachen:
Die Liste aller Nutzer-Accounts auf dem Telefon, inkl. der E-Mail Adressen und dem Sync Status für jeden dieser Accounts
Das letzte bekannte Netzwerk, sowie alle GPS-Daten, als auch eine eingeschränkte History aller getrackten Orte
Telefonnummern aus dem Telefon-Log
SMS-Daten, inkl. aller Nummern und dem verschlüsselten Text
System-Dateien
Soll der Hacker ruhig haben, im schlimmsten Fall kriege ich halt Spam Mails.
Nun aber mal ein weiterführender Gedanke, was interessiert einen Hacker diese Informationen.Warum sollte man kriminelle Energie aufwenden um meine E-Mails und SMS lesen zu können?
Wäre ich Vorstandsmitglied bei VW (oder in letzter Zeit ERGO ;P), würde ich da vllt. anders drüber denken.
Habe auf meinem Desire HD mit Swisscom branding die logger apk in system/app nicht gefunden. Hab ich die nicht, oder findet man die nur mit Root?
Auf meinem Desire Z, nicht gerootet, ohne Branding mit Android 2.3.3 ist die apk auch nicht zu finden.
Naja Ryan, meine SMS wären mir noch ziemlich egal, aber Passwörter z.B. für facebook und Online Stores schon weniger...
Ich hatte die .apk. - custom rom mit Sense 3.5 . Mit root aber problemlos zu entfernen.
mein Vodafone Sensation hat das apk auch nicht.
Auf einem Desire mit Android 2.2 Stock ROM gibts die App nicht, scheint also nicht betroffen zu sein.
Ich frage mich, was ihr denn alle so wichtiges zu verstecken habt.
Wieder eine Bestätigung für mich, dass es gut war auf ein Stock-ROM nahes Custom-ROM zu wechseln. Mir geht dieses Hersteller/Providergemurkse so auf die Nerven. Mal sehen lange HTC braucht ein Sicherheitspatch zu veröffentlichen. Wochen? Monate?
emails werden mitgelesen, telefonatsdaten vom provider festgehalten, in den Fußgängerzonen Überwachungskameras ... und? Ich nutze mein Sensation mit Sense weiter.
Na jetzt kann ich mich also sogar freuen, dass es fürs Desire HD noch kein Sense 3.0 gibt. Na sowas. Kein Schaden ohne Nutzen heißt es immer...
@stefan
LOL keine sorgen machen? doch nur weil bei deinem Hersteller noch nix bekannt ist. keine sorge. jeder ist mal dran. Fehler lassen sich nunmal nicht vermeiden.
der beste Fall ist jetzt eingetreten. es ist rausgekommen und es muss etwas unternommen werden. was wäre denn wenn die Lücke lange ausgenutzt wäre... lieber so als anders herum
Die HtcLoggers.apk dient in erster Linie Entwicklern für die Bugsuche, der normale User bekommt die App also in der Regel nicht zu Gesicht! Das HTC dennoch sowas von extremst unachtsam die geloggten Daten dieser App schützt, hätte ich nie gedacht ...!
Gott Lob hab ich kein HTC, wo ich mir solche Sorgen machen müsste! :D
Mal ne dumme frage... Es kann doch nur das ausgelesen werden was HTC loggt. Wofür werden solch sensible daten überhaupt gelogt? Ich mein da steht SMS mit verschlüsseltem Inhalt oO wofür brauch htc diese Daten?
Ohne jetzt was falsches zu behaupten, aber HtcLoggers.apk findet sich erst ab Sense 3.0 im System.
Auf meinem DHD mit ARHD Rom 6.1.1 ist die App vorhanden.Habe sie über Supermanager deinstalliert.
Bisher ist so weit ich weiß noch keine böse "Spionage-App" gesehen worden, es wurde nur gesagt, dass eine App theoretisch ziemlich einfach an diese Daten herankommen würde.
Das soll ja über den HTC-Logger-Dienst laufen können, und ob der auf dem Telefon ist, kann man unter /system/app/HtcLoggers.apk nachgucken (bzw., ob es diese apk gibt).
Es ist also zu hoffen, dass man mit root die Datei löschen könnte und alles ist vorbei, ohne dass das Telefon sich beschwert (könnte man nicht sogar kurz rooten, die apk entfernen und dann wieder unrooten?). Trotzdem ist das natürlich keine Lösung für 99% aller Nutzer (obwohl es wahrscheinlich gerade die sind, die von dem Problem gar nichts mitnekommen werden); vielleicht kann HTC ja aus der Ferne irgendetwas ändern. Wenn nicht- tja, blöd gelaufen, wenn es böse Hacker gibt, die Daten klauen wollen, dann wissen sie jetzt alle, wie.
Bestelle mit meinem DHD schon mal was bei gewissen Online Händlern. Jetzt müsst ich regelrecht schiss haben das mein Passwort durch irgendeine App ausgelesen wird ? Super !!! Dann müsste meinst ja auch betroffen sein mit gebrandeten O2 2.3.3 . Wäre natürlich nicht schlecht wenn man die Spionageapps hier rein stellen würde
Auf meinem Desire mit Gingerbread wurde auch nix gefunden und die *.apk gibt es auch nicht....heisst das, meins ist nicht betroffen?!
Kann man überprüfen, ob das eigene Handy bisher betroffen ist?
Und wenn ja wie?
Also die Apk habe ich nicht gefunden. scheint also doch gut zu sein ein altes Hero mit 2.1 zu haben, das alles kann was ein smartphone können sollte, aber einfach unattraktiv für fiese möps ist :D
zum Glück hab ich gestern mal wieder CM7 installiert...
hmm
mein dhd scheint nicht betroffen zu sein
zumindest findet die test apk nix??
Habe sofort ne Mail an den Kundendienst geschrieben. Sowas geht ja gar nicht.
Bin mal auf die Reaktion gespannt.
Jürgen: Kein Grund für das Sorry, alles ok ;)
Stefan: Das ist momentan noch unklar..
@Christian: Hab da leider bei den Custom ROM's zu sehr verallgemeinert...stimmt natürlich.
Wenn das Custom ROM Sense basierend ist, kann die Apps darin enthalten sein.
Sorry
handelt es sich nur rein um branding geräte?
is ja super :(
da sollte htc aber mal ganz fix ein update rüberschieben!
"Patching The Vulnerability is not possible without either root or an update from HTC. If you do root, we recommend immediate removal of Htcloggers (you can find it at /system/app/HtcLoggers.apk)."
Die App gibt es bei mir nicht, scheint (!) also sicher zu sein (Desire mit LeeDrOiD V3.0.8.2).
Und ich wollte die Tage das Sensation XE bestellen bei solchen Nachrichten warte ich jetzt aber lieber erstmal ab.
Bernd: Noch scheint keine App von der Lücke Gebrauch zu machen. Zumindest wurde noch keine entdeckt.
Jürgen:
Nicht alle Sense-Telefone sind betroffen, das scheint von Branding zu Branding zu variieren.
WICHTIG: Nicht alle Custom ROMs sind nicht betroffen. Lediglich Nicht-Sense-ROMs und Sense ROMs, aus denen die Lücke durch den Macher entfernt wurde, sind nicht betroffen.
So wie es aussieht betrifft es aktuelle Telefone mit Sense:
(laut dem Artikel bei Androidpolice)
Note: Only stock Sense firmware is affected - if you're running an AOSP-based ROM like CyanogenMod, you are safe.
Affected Phones:EVO 4G ,EVO 3D, Thunderbolt, EVO Shift 4G?, MyTouch 4G Slide?, the upcoming Vigor?, some Sensations?, most likely others
Custum Roms anscheinend nicht
Ich gehe mal davon aus, dass HTC auf den großen Druck hin, der jetzt zu erwarten ist, ganz schnell einen Fix anbieten wird.
Was ein scheiß. Wie soll man sich denn da verhalten? Alle Apps löschen?
Ne Liste mit den bösen Apps wär gut.