HTC: WLAN-Sicherheitsloch in Android-Smartphones

In verschiedenen Android-Smartphones von HTC wurde im September 2011 eine Sicherheitslücke entdeckt, über die Angreifer Zugriff auf WLAN-Zugangsdaten erhalten können. In einer mit HTC koordinierten Aktion hat das US-Cert das Sicherheitsleck nun bekanntgemacht. Der Fehler kann von Angreifern dazu missbraucht werden, auch WLAN-Kennwörter auszuspähen.

Für einen Angriff ist lediglich eine Android-Anwendung erforderlich, die Zugriff auf die WLAN-Funktionen des Android-Geräts erhält. Wenn diese Anwendung dann auch noch die Befugnis hat, Daten zu versenden, könnten Angreifer so etwa Zugangsdaten zu Firmennetzwerken erhalten.

Von dem Sicherheitsloch sind unter anderem die HTC-Modelle Desire S, Desire HD und Evo 3D betroffen. Das Nexus One soll den Fehler nicht haben. Ansonsten nennt das entsprechende Sicherheitsdokument weitere HTC-Modelle, die aber nicht in Deutschland vermarktet werden. Derzeit liegen keine Informationen dazu vor, ob noch weitere in Deutschland angebotene HTC-Smartphones von dem Problem betroffen sind.

Nach Angaben von HTC haben einige der betroffenen Modelle bereits ein Update erhalten, für die übrigen Modelle wird mit der Patch-Verteilung gerade begonnen. Google hatte den Android Market nach Anwendungen durchsucht, die das Sicherheitsloch ausnutzen, wurde aber nicht fündig. Demnach gibt es derzeit im Android Market keine Anwendung, die diesen Fehler ausnutzt.

Im Rahmen des Fehlers hat Google Optimierungen am Android-Code vorgenommen, um solche Attacken besser abwehren zu können. Prinzipiell gibt es den Fehler wohl nur in Android-Smartphones von HTC, während Android-Smartphones anderer Hersteller das Problem nicht kennen.