HTC-Smartphones schlampen mit WLAN-Passwörtern

Der Smartphone-Hersteller HTC bestätigt ein Sicherheitsproblem einiger Android-Geräte beim Umgang mit WLAN-Passwörtern. Es kann dazu führen, dass Apps diese ausspionieren und unter Umständen an einen externen Server senden.

Wenn eine Anwendung Basis-Rechte für die WLAN-Nutzung hat (genau: ACCESS_WIFI_STATE) kann sie die SSID und über einen Trick auch das WLAN-Passwort des gerade aktiven Netzes auslesen. Dazu müsse sie nur die Eigenschaft .toString() der Klasse WifiConfiguration abrufen, erklärt der Entdecker der Lücke Bret Jordan in seinem Blog.

Er listet eine ganze Reihe von betroffenen HTC-Modellen auf, darunter das Desire HD. Das Nexus One ist demnach nicht anfällig. HTC bestätigt die Sicherheitslücke und spricht auf seiner Hilfeseite von einem "kleinen WiFi Problem", das bei den meisten Anwendern bereits durch automatische Updates behoben wurde. Einige wenige Modelle benötigten jedoch ein manuelles Update, das man nächste Woche eben dort bereitstellen werde. Welche Modelle das sind, verrät HTC jedoch nicht.

Die Liste der anfälligen Modelle umfasst:

• Desire HD- Versionen FRG83D, GRI40
• Glacier - Version FRG83
• Droid Incredible - Version FRF91
• Thunderbolt 4G - Version FRG83D
• Sensation Z710e - Version GRI40
• Sensation 4G - Version GRI40
• Desire S - Version GRI40
• EVO 3D - Version GRI40
• EVO 4G - Version GRI40

Google hat das Problem im Android-Source-Code behoben und anscheinend auch einen Code-Scan über alle Apps des Markets durchgeführt, der aber keine Exploits zu Tage gefördert hat. (ju)