Verfasst von:

Massive Sicherheitslücke in HTC-Android Devices: Nummer, GPS-Daten, SMS, E-Mails, Adressen werden freigelegt

Verfasst von: Fabien Roehlinger — 02.10.2011

 

Über einen Tweet von @tchibomann wurden wir auf einen Artikel von Android Police hingewiesen. Und dieser dürfte allen HTC-Kunden, die ein Android-Gerät in der Tasche mit sich tragen, übel aufstoßen. Offenbar gibt es eine gravierende Sicherheitslücke, über die manipulierte Apps, die eigentlich nur die Berechtigung android.permission.INTERNET benötigen nahezu alle persönlichen Daten auf dem Telefon auslesen und versenden. Diese Berechtigung wird immer dann benötigt, will eine App auf das Web zugreifen. Das dürfte bei der Vielzahl aller Apps der Fall sein. Sprich: Es ist alles Andere als verdächtig, will eine App eben dieses Recht für sich beanspruchen.

Das für HTC wirklich Fatale ist aber, dass der Hardware-Hersteller laut Android Police in einigen der vergangenen Updates für seine Telefone jede Menge Daten gesammelt hat. Diese "Logger" legen diese Daten einem bestimmten Ort auf dem Telefon ab. Diese Daten wurden durch HTC offenbar nicht richtig geschützt, so dass "böswillige" Apps direkt auf den großen Datenpool, der normalerweise unter Android niemals möglich wäre, zugreifen kann.

Laut Artikel bei Android Police kann dann auf die folgenden Daten zugegriffen werden:

  • Die Liste aller Nutzer-Accounts auf dem Telefon, inkl. der E-Mail Adressen und dem Sync Status für jeden dieser Accounts
  • Das letzte bekannte Netzwerk, sowie alle GPS-Daten, als auch eine eingeschränkte History aller getrackten Orte
  • Telefonnummern aus dem Telefon-Log
  • SMS-Daten, inkl. aller Nummern und dem verschlüsselten Text
  • System-Dateien

Laut Android Police geht es aber noch weiter. Es war den Jungs möglich auf jede Menge weitere Telefondaten, wie die laufenden Prozesse, der Liste der installierten Apps, CPU-Infos, usw. zuzugreifen. Für was diese Daten allerdings nützlich sein sollen...? Da ist es schon beunruhigender, dass die durchaus sensiblen Daten auf fast allen HTC-Modellen so offen zugänglich zu sein scheinen.

Wir können dies aktuell nicht nachprüfen. Allerdings scheint der Artikel sehr plausibel.

Deswegen der Aufruf an die Community: Bitte prüft das nach und helft und das zu verifizieren!

Die Sicherheitslücke wurde bereits am 24. September bekannt. Allerdings konnten die o. g. Daten jetzt erst vollständig ausgewertet werden. Übrigens: HTC ist auf hält sich bisher mit Kommentaren noch deutlich zurück. Mal sehen, ob sie das jetzt noch können, nachdem die Story so hochgekocht ist. Offenbar gibt es übrigens für dieses Problem noch keinen sicheren Fix. 

Wie vorhin schon bei Twitter geschrieben: Da hat sich HTC ein dickes Ding geleistet...

 

Quelle: Android Police

57 Kommentare

Neuen Kommentar schreiben:
  • Michael S. 08.10.2011 Link zum Kommentar

    > "Is ja ne Frechheit von HTC."

    Ein Fehler ist ein Fehler und keine Frechheit. Frechheit wird es erst wenn der Hersteller es absichtlich macht (z.B. wie mit den Standortdaten beim iPhone, aber ads hat auch nicht viele wirklich gestört).

    Wie bereits erwähnt wurde kann man die Logger-App löschen, dann dürften auch keine Logs mehr geschrieben werden und fertig.

    Innerhalb von nichtmal einer Woche kann kein Hersteller solch ein Update liefern, falls das wirklich ewig dauert (sagen wir 2-3 Monate) dann kann man sagen, dass die Dauer des Updates eine Frechheit ist. Denn das hat die Firma in der Hand. Fehler zu vermeiden hat keiner in der Hand, man kann sie höchstens minimieren. Ob hier eine Qualitätskontrolle schlecht gemacht wurde können wir aber nicht einschätzen und so wie sich der Fehler für mich anhört wäre er auch nicht gefunden worden.

    Also ruhig bleiben. So lange es noch nicht mal Apps gibt die das ausnutzen ist es eh egal.

  • HTC Sensation 08.10.2011 Link zum Kommentar

    Ja "toll". Mein HTC Sensation hat dieses Sense 3.0 drauf... Suche auch öfters nach Updates am Gerät, aber bisher Gibtel nix. Was kann man da machen? Alle Apps löschen? Oder auf gewisse "Rechte" achten? Is ja ne Frechheit von HTC.

  • Michael S. 04.10.2011 Link zum Kommentar

    Da hast du wohl recht. Es wäre wohl nicht nötig gewesen den Text der SMS mit zu speichern. Ich weiß nicht wie eine SMS aufgebaut ist, ich denke, sie haben sich da nur das "zerlegen" sparen wollen. Ich unterstelle da keine Absicht die Daten "haben zu wollen", warum auch, was hätten sie von ein paar SMS, die eh meist nur uninteressante Infos wie "treffen wir uns heut Abend", "Alles gute zum Geburtstag" und dergleichen enthalten.

    Ich finde es einfach nur ärgerlich, dass man an die Daten so leicht rankommt. Das die Daten gesammelt werden finde ich nicht so ungewöhnlich. Ich hoffe der Patch kommt bald.

    Ich bin gespannt ob htc da noch ärger bekommt wie Apple damals mit der großen Klage gegen die Ortsdaten.
    Weiß man überhaupt wie diese Massenklage ausging?

  • NeoXolver 04.10.2011 Link zum Kommentar

    Naja zugegeben kann ich auch nicht sagen wie es sich konkret mit dem Briefgeheimnis und SMS verhält. Dennoch glaube ich kaum, das ein mitschreiben einfach so legal ist, aber das ist eine frage für die Rechtsauslegung.

    Was die logs angeht, ist auch nicht das Problem das generell logs gemacht werden. Ich weiss auch das überall logs geschrieben werden.

    Mein Problem ist der Inhalt der LogFiles. Ich komm zugegeben nicht aus dem Bereich der Anwendersoftware und kenne mich nicht mit den Datenschutzrichtlinien in diesem Gebiet aus. Aber generell alles zu logen samt Inhalten, Nachrichten usw. halte ich dennoch nicht für Verhältnismäßig.

    Da ich mich bisher nicht mit dem Thema konkret beschäftigt habe, weiß ich zugegeben nicht was bei anderen Betriebssystemen konkret gelogt wird.

    Auch wenn ich wahrscheinlich diskreditiert werde, halte ich das logging von solch sensiblen daten für sehr zweifelhaft, da logs den entwickler nunmal vollständig und ohne kontrolle zur verfügung stehen

  • Andreas G. 04.10.2011 Link zum Kommentar

    ARHD 6.1.0 -> HtcLogger.apk gelöscht, Neustart -> App weg, Phone läuft

  • ~KieZKickeR~ 04.10.2011 Link zum Kommentar

    InsertCoin (Desire) 1.1.3 hat diese HtcLogger.apk auch nicht drin, Obwohl Sense,...

  • Ryan 04.10.2011 Link zum Kommentar

    @Marcus B.
    Holz

  • Michael S. 04.10.2011 Link zum Kommentar

    Das wäre mir jetzt neu, dass SMS unter das Briefgeheimnis fallen. Warum sollten sie, wenn nichtmal E-Mails unter dieses fallen. SMS sind nie als "Brief" gedacht gewesen.

    Logs werden überall gespeichert, alle Betriebssysteme tun das und auch sämtliche Server in allen Bereichen tun dies. Logfiles werden sehr oft benötigt um Fehler aller Art zu finden. Es ist also vollkommen normal was hier passiert. Das einzige Problem ist, dass die Daten nicht gut genug geschützt sind. htc jetzt vorzuwerfen, dass sie überhaupt Logs anlegen ist Käse und geht an der Realität vorbei.

    Ich hoffe das bald ein Update kommt, für diejenigen die es betrifft. Ich bin da aber zuversichtlich, htc war ja schon immer ganz gut in Sachen Updates.

  • NeoXolver 04.10.2011 Link zum Kommentar

    Btw. Fallen SMS nicht unter das Briefgeheimnis? Mit welchem recht werden diese ausserhalb des wissens des Benutzers gespeichert? Ich mein das ist (fast) wie wenn die Post Briefe Scannen und verschlüsseln würde. Für spätere Fehleranalysen... Wobei man dann nicht zugestelle Briefe nachfordern könnte... hat auch seinen charm

  • NeoXolver 04.10.2011 Link zum Kommentar

    Also dass die logs für die rekonstruktion von fehlerzuständen gedacht kann ich mir sehr gut vorstellen... jedoch frag ich mich wieso so intensiv daten an einem ort gesammelt werden, ohne das der nutzer einfluss darauf hat. Zudem frage ich mich für welche Fehlerfälle diese Daten so detailiert gebraucht werden, mal abgesehen davon, dass der schutz der logs sträflich vernachlässigt wurde.

    An alle "was habt ihr zu verheimlichen" Aussagen. Missbrauchsmöglichkeiten gibts da viele. Ein gut geführtes Telefonbuch eignet sich gut zum verkauf an Datensammler. Auch Telefonnummern sind nicht uninteressant. Zudem gibt es bestimmt auch Personen die ihr Android geschäftlich nutzen möchten und ab dann spätestens sind nich alle Informationen "open scource"

  • Marcus B. 03.10.2011 Link zum Kommentar

    @Ryan

    Ey echt? AndroidPit filtert Blogs raus?? Find ich noch Skandalöser als htc und Swisscom zusammen!

    @Androidpit
    Warum macht ihr sowas??

    Was die Sicherheitslücke angeht:
    htc sammelt Nutzerstatistiken wenn man das zulassen will.
    (Abfrage beim Einrichten) Schonmal daran gedacht dass es dafür dienen könnte????

  • ©h®is 03.10.2011 Link zum Kommentar

    @ fae: der link zu der quelle ist im ersten satz des blogs..^^

  • Walter W. 03.10.2011 Link zum Kommentar

    die apk ist auf meinem Sensation (T-Mobile Branding) nicht zu finden.

  • Ryan 03.10.2011 Link zum Kommentar

    @Android Pit Team:
    Das Bild ist übrigens ziemlich IRREFÜHREND
    Da PASSWÖRTER NICHT BETROFFEN sind.

    btw: Mein Blog den ich vor über einer Woche hier auf AndroidPit gepostet hab, das Swisscom Kunden mit Sensation,Evo3d,DesireS seit 2 Monaten massive Verbindungseinschränkungen/Probleme beim Telefonieren haben ist viel "skandalöser"...
    ihr schaltet ihn aber wohl niemals frei -.-

  • Michael S. 03.10.2011 Link zum Kommentar

    Also wenn ich das richtig verstanden habe betrifft es nur Sense 3.0 und damit kein Gerät aus der Desire-Reihe, sondern nur die Geräte, die 2011 auf dem Markt kamen, also hauptsächlich Sensation und Evo.

    Auch ist es, so wie das für mich klingt, einfach so, dass htc die Logdaten wo gespeichert hat, wo sie nicht sicher genug sind. htc-Bashing ala "Ich bin froh kein htc zu haben" ist also übertrieben.

  • Stefan K. 03.10.2011 Link zum Kommentar

    @Christian:
    Habe ich behauptet, dass man Samsung vollkommen vertrauen kann? Ich glaube nein, nur das ich froh bin kein HTC zu haben nach der "Enthüllung"! ;)

  • Ryan 03.10.2011 Link zum Kommentar

    ...
    omg ich hab grad ne SMS von nem Hacker bekommen!
    Er hat meine HTC Logs ausgewertet und erzählt nun allen das mein Handy letzte Woche 2 mal abgestürzt ist!
    ...

    ;)
    Und ja: Ich hab heute Morgen nen Clown gefrühstückt.

  • Ryan 03.10.2011 Link zum Kommentar

    @Sascha M.
    Von Passwörtern war doch nie die rede? Ausser du verschickst deine Logindaten per SMS (was ohnehin nicht sehr empfehlenswert ist)

    Nimmt mich jetzt echt wunder, was ihr alle so zu verstecken habt xD
    Wenn ruft ihr denn heimlich an ? ^.-

    Nein ernsthaft. Sich so aufregen, aber dann Communities wie Facebook/ Apps wie Angry Birds etc. haben...
    (Angry Birds hat seit dem neusten Update auch die Möglichkeit auf SMSen zuzugreiffen.)

    verstehe wer will.

Zeige alle Kommentare