Brains Brutzelstube

Langsam schlägt es dem Fass den Boden aus. Die Jungs von Android Police haben sich mal die aktuellen original HTC Firmwares angeschaut und sind dabei über ein Sicherheitslock (das ist schon eher ein Krater epischen Ausmaßes) gestoßen. Betroffen ist zwar nicht das Classic Desire, sondern nur HTC-Smartphones mit aktuellen Sense-Versionen (3.0, wahrscheinlich auch 2.0), als da wären:

• EVO 4G
• EVO 3D
• Thunderbolt
• EVO Shift 4G? (thanks, pm)
• MyTouch 4G Slide? (thanks, Michael)
• das kommende Vigor? (thanks, bjn714)
• einige Sensations? (thanks, Nick)
• View 4G? (thanks, Pat)
• das kommende Kingdom? (thanks, Pat)
• wahrscheinlich auch andere, die wir nicht identifizieren konnten, aber Ihr könnt bei der identifizierung helfen, indem Ihr Euch bei Android Police die “Proof of Concept” APK herunterladet und euer telefoin testet und dann dort Rückmeldung gebt.

(bei mit ? gekennzeichneten Smartphones ist das Ergebnis noch nicht ganz vollständig verifiziert)

Schuld an der Sicherheitslücke ist ein Tool von HTC, welches unheimlich viele verschiedene Daten sammelt, um diese im Fehlerfall eventuell an HTC zu übermitteln. Diese Daten sind aber absolut ungeschützt und lassen sich durch andere Apps problemlos auslesen. Einen genaueren Hintergrund gibt es bei Androidnext.de oder im englishen original bei Android Police. Das Haarsträubende an der Sache ist, dass dies Daten sind, die mit Softwareproblemen eher weniger zu tun haben, oder wofür braucht man beispielsweise die Telefonnummern der letzten Anrufe oder den Inhalt der zuletzt verschickten SMS…?

Was mir ein wenig Sorgen bereitet, sind die entsprechenden Portierungen von Sense 3.0 ROMs für das HTC Desire classic. Leider weiß ich nicht, inwiefern diese Datensammelapp von den Entwicklern eventuell mit in ein ROM übernommen wurde. Interessanterweise sind zum auslesen der Daten nicht einmal irgendwelche Rootrechte notwendig, so dass die Argumentation einiger Hersteller gegen das Rooten zusammenbricht. Bisher wurde oft darauf hingewiesen, dass mit Rootrechten große Sicherheitsrisiken entstehen können. Hier ist der aktive Beweis, dass closed Source Software, die nur durch wenige kontrolliert wird, ein deutlich höheres Risiko darstellt. Denn diese Daten lassen sich von jeder App auslesen und an einen beliebigen Empfänger übermitteln, welcher Internetzugriff gegeben wurde. Und dieses Recht gibt man ja bedenkenlos eigentlich jeder App, sei es, weil sie werbefinanziert ist, oder weil man ein Spiel online zocken möchte.

HTC verspricht zwar schnelle Abhilfe durch einen Patch, aber in Anbetracht, dass die Lücke nun schon einige Tage alt ist, und auch bisher HTC nicht gerade durch eine zeitnahe Updatepolitik glänzte, zudem wahrscheinlich auch wieder die Provider Ihre eigenen Android Versionen (wenn überhaupt) erst einmal anpassen müssen, gehe ich davon aus, dass der Nicht-Root-User mal wieder der gelackmeierte ist.

Ich denke mal, bei den XDA-Developers wird man recht schnell eine Lösung finden und die Custom ROMs anpassen, der geneigte Rootuser kann ja auch zwischenzeitlich auf ein AOSP ROM oder eine ältere Sense-Version umsteigen, dank Root und S-OFF ist das ja in wenigen Minuten erledigt.

Definitiv ist es wirklich an der Zeit, dass sich die Hardwarehersteller auf das konzentrieren, was sie wirklich können: das Hardwareherstellen. Und dann sollten Sie es einfach dem Käufer des Gerätes überlassen, welche Software er drauf laufen lässt.

Ähnliche Artikel:

1. Super Artikel über Android in der aktuellen ct 4-2011 inklusive Fehlern
2. Update eines ROMs oder Umstieg auf ein neues ROM
3. Welche ROMs haben Unterstützung für die SLCD Displays
4. Vorbereitungen für das Aufspielen eines Custom-Roms
5. CyanogenMod – Das Urgestein der Android Roms