Android Smartphones von HTC mit Hintertür

Artem Russakovskii berichtet auf Androidpolice, von einer Hintertür in aktuellen HTC Smartphones.

Apps, die lediglich mit dem Recht ausgestattet sind, das Internet zu benutzen, können das herstellereigene Logging-Programm htclogger ausnutzen, um an umfangreiche private Informationen zu gelangen. Dieses Recht ist quasi Standard, um Daten über das Internet abrufen zu können. Damit können Programme aber auch an einem lokalen Port eine Verbindung zu htclogger aufbauen, um auf folgende Informationen zuzugreifen:

  • Die Liste der Accounts mit E-Mailadresse und Synchronisationsstatus
  • Die letzte Netzwerk- und GPS-Position, sowie eine kurze Hostorie der vorherigen Orte
  • Telefonnummern aus dem Anrufprotokoll
  • Absender und Inhalt von SMS
  • Systemlogdateien (kernel/dmesg und app/logcat)
  • Netzwerkinformationen, wie z.B. die aktuelle IP-Adresse
  • und mehr

Apps müssen sich gegenüber HtcLogger nicht authentifizieren, um die Daten über ein Kommando-basiertes Interface, dass über einen lokalen Port erreichbar ist, abfragen zu können. Das gewährte Recht zum uneingeschränkten Netzwerkzugriff können die Applikationen gleich nutzen, um die gewonnenen Daten an einen Empfänger im Internet weiterzuleiten.