02. Februar 2012
Posted in Internet News

HTC bestätigt auf seinen Hilfeseiten eine WiFi Sicherheitslücke, kann dafür aber offenbar noch keine Hilfe anbieten. Mehr Informationen findet man auf den Seiten des Sicherheitsexperten Bret Jordan, der die Sicherheitslücke zwar nicht entdeckt, aber sie dafür (viel ausführlicher als HTC) dokumentiert hat.

Es geht demnach um ein Problem, das auf einer ganzen Reihe populärer Android-Geräte von HTC zu finden ist. Die Sicherheitslücke könnte es einem Angreifer ermöglichen, die jeweils genutzten WLAN-Zugangsdaten auszuspionieren. Das ist immer dann möglich, wenn eine Anwendung eine Berechtigung zum Zugang zu den WiFi-Informationen und zu den Informationen über den Internet-Zugang erhält. In diesem Fall könnte die Anwendung die Kombination aus SSID und Password des Netzwerks an einen Server weiterleiten.

Wie diese Daten von einem Angreifer auf der anderen Seite des Erdballs ausgenutzt werden könnten, ist dabei vermutlich weniger interessant als die Reaktion der Unternehmen. Nachdem Google und HTC von Jordan über die Sicherheitslücke informiert wurden, hat der Android-Hersteller alle Anwendungen im Android Market einem Code Scan unterzogen, um zu überprüfen, ob eine der Apps diese Sicherheitslücke ausnutzt. Das Ergebnis des Code Scan war negativ.

Google hat zusätzlich Änderungen am Android Code vorgenommen und HTC wird vermutlich eben diese Änderungen bei dem angekündigten manuellen Update der Geräte berücksichtigen. Ein automatisches Sicherheits-Update ohne Zutun des Benutzers ist demnach weder von Google noch von HTC zu erwarten. Zu Bedenken gilt es daher, dass der Code Scan nur die Sicherheit der Apps aus dem Android Market Googles gewährleisten kann. Apps aus anderen Quellen können die Lücke dagegen ausnutzen.

Die von ihrem Schadpotential her eher als moderat einzustufende  Sicherheitslücke demonstriert damit schon sehr gut, welche Schwachstellen das Android-Sicherheitskonzept beinhalten kann - selbst wenn eine Sicherheitslücke entdeckt wurde.