Android-Geräte: HTC bestätigt WLAN-Sicherheitsproblem
Bereits im September letzten Jahres mehrten sich die Hinweise, dass ein Bug zu einem Sicherheitsproblem bei der Nutzung des WLANs von bestimmten HTC Smartphones führen könnte. Nach langer Funkstille stellt sich nun heraus: Die Behauptung stimmt.
Durch den Fehler wird es Dritten potentiell ermöglicht, die auf dem Gerät hinterlegten WLAN-Passwörter auszuspähen. Dazu bedarf es theoretisch nur einer bestimmten Anwendung, die überdies über die Rechte verfügen muss, Daten zu versenden – ein pikantes Problem, das vor allem den Hütern von Unternehmensnetzwerken sauer aufstoßen dürfte, auch wenn die besagte Anwendung laut Google zuletzt nicht im Marketplace angeboten wurde.
Von dem Problem sollen mehrere Android-Smartphones betroffen sein, darunter das Desire HD, das Desire S und das Evo 3D sowie die hierzulande nicht eingeführten Geräte Thunderbolt und Evo 4G. Smartphones von anderen Herstellern sind wohl nicht betroffen; bei dem Bug handelt es sich offenbar um ein unglückliches Zusammenspiel von HTC-Komponenten und Android-Code.
Irritierend ist dabei, dass HTC ganz offensichtlich seit dem frühen Herbst von dem Problem wusste, es aber erst jetzt in Absprache publik gemacht hat. Als Grund hierfür erläutert HTC, dass man zunächst einen Patch entwickeln wollte, bevor man auf die Gefahren des Lecks hinweisen konnte. Tatsächlich geben die Entdecker des Bugs von der Open1X-Gruppe an, dass HTC schnell und entschieden auf den Hinweis reagiert habe; ein lachser Umgang mit dem Problem ist also nicht zu unterstellen, auch wenn die Kommunikationsstrategie sicher diskussionswürdig ist.
Der besagte Patch sollte bereits auf neueren Modellen aufgespielt worden sein; manche Geräte werden aber manuell auf den neuesten Stand gebracht werden müssen. Wir haben bei HTC – auch bezüglich des Updates – nachgefragt und reichen ein offizielles Statement sobald möglich nach.
Die verbleibenden Updates sollen in der nächsten Woche nachgereicht werden. Genaueres wird HTC auf der entsprechenden Sub-Webseite veröffentlichen.
Das offizielle Statement erläutert noch einmal, weshalb ein stilles Arbeiten an einem Patch als sinnvolleres Vorgehen erschien. Man habe intensiv mit Google und Sicherheitsexperten zusammengearbeitet, um für die meisten betroffenen Geräte noch vor der Publikmachung einen Patch bereitstellen zu können.
HTC takes customer data security very seriously. If there is a known breach of sensitive customer data, our priorityis customer notification along with corrective actions. It is our policy, and industry standard procedure, to protect customers, which sometimes necessitates not increasing data security risks by disclosing minor breach issues where no malicious applications are detected. In those cases, premature disclosure of vulnerabilities could spur creation of malicious apps to take advantage of any vulnerability before it is fixed. For this specific WiFi bug issue, we worked closely with Google and the security researchers from the date of notification and throughout this process to ensure that the majority of affected HTC phones had already received the fix prior to the vulnerability being made public.