Eine bislang unbekannte Zahl an HTC Smartphones mit Android Betriebssystem besitzt eine unfreiwillige Hintertür, über die nahezu jede beliebige Software persönliche Daten des Nutzers auslesen kann. Diese Daten werden von einem Logging-Programm von HTC gesammelt und auf dem Gerät gespeichert. Allerdings führen fehlerhafte Einstellungen seitens des Herstellers dazu, dass momentan jede Applikation mit Internetzugriff diese gesammelten Daten auslesen kann.

Google Android - Gravierende Sicherheitslücke bei HTC-Geräten mit Android

alle Bilderstrecken
Weitere Bilder zuGoogle Android
Wischen für nächstes Bild, klicken um Infotext ein- / auszublendenBild 1/2Bild 39/401/40
mehr Bildersteckenalle Bilderstrecken

Die Seite Android Police hat bisher mehrere aktuelle Geräte identifiziert, die diese Lücke aufweisen. Betroffen sind demnach die Smartphones EVO 3D, EVO 4G und das HTC Thunderbolt. Zudem gibt es Hinweise, dass das EVO Shift 4G, MyTouch 4G Slide und diverse Sensation-Versionen ebenfalls betroffen sind. Das Programm htclogger wurde offenbar von HTC zur leichteren Fehlersuche mit der aktuellsten offiziellen Software-Version eingespielt. Dabei sammelt man unter anderem Informationen in welchem Netz sich der Nutzer befindet, GPS-Daten, die letzten Aufenthaltsorte, Anruferlisten, SMS-Daten samt Telefonnummer und verschlüsseltem Text, Systemlogs und vieles mehr.

Alle Programme die die Berechtigung "android.permission.INTERNET" aufweisen, haben derzeit offenbar Zugriff  auf die mitgeschnittenen Infos. Jede Applikation, die Inhalte aus dem Netz laden oder senden möchte, kann diese Berechtigung erfragen. Üblicherweise wird sie diese vom Nutzer auch erhalten, denn der Zugriff auf andere Inhalte und Funktionen des Gerätes sind normalerweise eingeschränkt und müssen gesondert genehmigt werden. Allerdings lassen sich die Logs des htcloggers über einen lokalen Port abrufen, welcher ebenfalls unter die Internet-Berechtigung fällt.

Um Zugriff auf diese Daten zu erhalten sind weder Passwort noch Nutzername nötig. Android Police hat eine App veröffentlicht, die den Zugriff auf viele der gesammelten Daten bereits ermöglicht und mit der die Existenz der Lücke auf anderen Geräten getestet werden kann. Ein Video mit der Demonstration der Lücke hat man ebenfalls bereit gestellt. Derzeit lässt sich das Problem nur mit der Entfernung des HTC Loggers beheben, was allerdings nur auf Geräten mit Root-Zugriff möglich ist. Benutzer von alternativen ROMs sind derzeit nicht betroffen.

Unklar ist, warum HTC überhaupt diese massive Anzahl an Daten sammelt und auf dem Gerät speichert. Auch der einfache Zugriff darauf ist ungewöhnlich oder außergewöhnlich nachlässig. Sollte HTC tatsächlich bewusst diese Menge an Daten bei allen Geräten sammeln, wäre das auch bei erschwerten Zugriff zumindest bedenklich.

Die Finder der Lücke hatten HTC bereits am 24. September informiert, aber keine Antwort erhalten. Eine Reaktion von HTC gibt es mittlerweile, diese erfolgte aber erst nach der Veröffentlichung des Problems durch die Entdecker. Die Äußerungen von HTC besagen, dass man die Vorwürfe so schnell wie möglich prüfen wolle und falls diese korrekt seien, werde man die Lücken per Update beheben.