News : Android-Smartphones von HTC als Datenleck

, 61 Kommentare

Wie einem Bericht der Kollegen von androidpolice.com zu entnehmen ist, befindet sich in der aktuellen Software einiger Android-Geräte vom taiwanischen Hersteller HTC eine Sicherheitslücke in den Logging-Tools, durch die persönliche Daten von dem Gerät enorm vielen Apps zugänglich gemacht werden.

Dazu von Nöten ist lediglich die Berechtigung „android.permission.INTERNET“. Über diese verfügt jede App, die auf irgendeine Weise eine Verbindung zum Internet aufbaut, sei es auch nur zur Darstellung von Werbung. Normalerweise erhalten die Apps lediglich Zugriff auf das, was die jeweilige Berechtigung, die sie benötigen, ermöglicht.

Die Ansammlung der oben genannten Informationen erfolgt über die App „HtcLoggers.apk“. Die Inhalte der Sammlung stehen jedem zur Verfügung, der mit Öffnung eines lokalen Ports danach „fragt“. Dies scheinen alle Apps mit der Eingangs erwähnten Berechtigung „INTERNET“ zu sein. Darunter fällt auch „HtcLoggers“. Diese App verfügt sogar über ein eigenes Interface mit einer Vielzahl an Kommandos zur Steuerung, keinerlei Nutzername oder Passwort sind nötig, um Zugriffsmöglichkeiten zu diesem Interface zu erhalten. Der Bericht erklärt, dass HTC Loggers nur ein einziger Sammler an Daten ist und selbst von diesem noch nicht alles erkundet ist.

HTC Loggers
HTC Loggers (Bild: androidpolice.com)

Den Erkenntnissen der Kollegen Justin Case und Trevor Eckhart zu Folge haben dann die Apps Zugriff auf folgende Informationen:

  • Liste der Accounts des Nutzers, samt Mail-Adressen und Synchronisationsstatus
  • die zuletzt verwendeten Netzwerke
  • aktueller sowie einige frühere Standorte
  • Telefonnummern aus der Anrufliste
  • SMS-Daten, deren Telefonnummern sowie enkodierter Text
  • Logs aus dem System.
  • ungelesene Benachrichtigungen aus der Statusleiste samt Text
  • Version von Build, Bootloader, Radio und Kernel
  • Netzwerkinformationen und IP-Adresse
  • Informationen zu Speicher, CPU, Dateisystem, aktive Dienste
  • Aktueller Schnappschuss laufender Threads
  • Liste aller installierten Applikationen samt genutzter Berechtigungen, Nutzer-IDs, Versionen
  • Systemeinstellungen
  • Aktive und vergangene Übertragungen
  • Anbieter von Inhalten
  • Akkustatus samt Chronik der Ladevorgänge

Zusätzlich wird geschrieben, dass HTC in seinen Geräten – beispielsweise dem Evo 3D – eine App namens „androidvncserver.apk“ mitliefert. Diese starte nicht automatisch und es ist nicht bekannt, was sie ermöglicht. Das einzig Bekannte ist, dass die Bezeichnung VNC auf einen Server für Fernzugriff hinweist.

Eine Beseitigung dieser Sicherheitslücke ist nicht ohne Vollzugriff („Root“) oder einem Update von HTC möglich. Eine Möglichkeit das Risiko möglichst gering zu halten, ist nicht blindlings Apps herunterzuladen, da im Vorfeld nicht vorhersehbar ist, inwiefern die Daten gesammelt und versendet werden. Anderweitig kann man die APK über einen Datei-Manager unter /system/app/HtcLoggers.apk entfernen. Dies dürfte jedoch den erwähnten Vollzugriff voraussetzen, dieser widerspricht jedoch den Garantiebedingungen.

Nur jene Geräte sind betroffen, die eine originale ROM verwenden – sogenannte „Custom ROMs“ sind außen vor. Als betroffen eingestufte und verifizierte Geräte gelten laut androidpolice.com das Evo 3D, das Evo 4G und das Thunderbolt. In Frage stehen das Evo Shift 4G, MyTouch Slide 4G, das gemunkelte Vigor und das Sensation sowie viele weitere, nicht näher genannte Geräte.

Um zu überprüfen, ob das eigene Gerät ebenfalls die Sicherheitslücke aufweist, erstellte Trevor Eckhart ein Proof of Concept. Bei diesem Machbarkeitsnachweis handelt es sich um eine Open-Source-App, die die Berechtigung „INTERNET“ nutzt und später zeigt, dass sie Zugang zu all den Daten hat.

In einem Video, von Trevor Eckhart selbst gefilmt, zeigt er die Funktionsweise:

YouTube-Video: Android Security Elevation With HTCLoggers.apk (EVO 3D/4G, Thunderbolt, more)

Trevor Eckhart will HTC bereits am 24. September kontaktiert und über all dies informiert haben. androidpolice.com verfolge mit der Veröffentlichung das Ziel, schneller an eine Lösung zu gelangen. Es sei soweit bekannt, dass HTC dieses Problem begutachtet, kommentiert habe das Unternehmen die Geschehnisse aktuell noch nicht.