Laut golem.de zufolge  ist in einer Reihe von Android-Smartphones vom Taiwanischen Hersteller HTC ist eine Sicherheitslücke gefunden worden, über die Angreifer WLAN-Zugangsdaten samt Kennwörtern...

Laut golem.de zufolge  ist in einer Reihe von Android-Smartphones vom Taiwanischen Hersteller HTC ist eine Sicherheitslücke gefunden worden, über die Angreifer WLAN-Zugangsdaten samt Kennwörtern ausspähen können.HTC ist gerade dabei, die betroffenen Geräte mit einem Patch zu versorgen.

Für die Offenlegung der Kennwörter ist lediglich eine Android-Anwendung erforderlich, die Zugriff auf die WLAN-Funktionen des Android-Geräts erhält. Wenn diese Anwendung dann auch noch die Befugnis hat, Daten zu versenden, kann es schnell sehr teuer werden. Von dem Sicherheitsloch sind unter anderem die HTC-Modelle Desire S, Desire HD und Evo 3D betroffen.

Es kann dazu führen, dass Apps diese ausspionieren und unter Umständen an einen externen Server senden.Wenn eine Anwendung Basis-Rechte für die WLAN-Nutzung hat (genau: ACCESS_WIFI_STATE) kann sie die SSID und über einen Trick auch das WLAN-Passwort des gerade aktiven Netzes auslesen. Dazu müsse sie nur die Eigenschaft .toString() der Klasse WifiConfiguration abrufen, erklärt der Entdecker der Lücke Bret Jordan in seinem Blog.

Er listet eine ganze Reihe von betroffenen HTC-Modellen auf, darunter das Desire HD. Das Nexus One ist demnach nicht anfällig. HTC bestätigt die Sicherheitslücke und spricht auf seiner Hilfeseite von einem „kleinen WiFi Problem“, das bei den meisten Anwendern bereits durch automatische Updates behoben wurde. Einige wenige Modelle benötigten jedoch ein manuelles Update, das man nächste Woche eben dort bereitstellen werde. Welche Modelle das sind, verrät HTC jedoch nicht.

Die Liste der anfälligen Modelle umfasst:

  • Desire HD- Versionen FRG83D, GRI40
  • Glacier – Version FRG83
  • Droid Incredible – Version FRF91
  • Thunderbolt 4G – Version FRG83D
  • Sensation Z710e – Version GRI40
  • Sensation 4G – Version GRI40
  • Desire S – Version GRI40
  • EVO 3D – Version GRI40
  • EVO 4G – Version GRI40

Nachtrag

Nach Angaben von HTC haben einige der betroffenen Modelle bereits ein Update erhalten, für die übrigen Modelle wird mit der Patch-Verteilung gerade begonnen. Google hatte den Android Market nach Anwendungen durchsucht, die das Sicherheitsloch ausnutzen, wurde aber nicht fündig. Demnach gibt es derzeit im Android Market keine Anwendung, die diesen Fehler ausnutzt.