Android Apps können WLAN Passwort auslesen...

Android Apps können WLAN Passwort auslesen... (16 Beiträge, 974 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

bei einigen Android-Handys wurde wieder mal eine Sicherheitslücke gefunden:

Es kann dazu führen, dass Apps diese ausspionieren und unter Umständen an einen externen Server senden.

http://www.heise.de/newsticker/meldung/HTC-Smartphones-schlampen-mit-WLAN-Passwoertern-1427359.html

hier die Timeline bis zur Veröffentlichung der Lücke:

Timeline
- 2012-02-01: Public disclosure
- 2012-01-31: Submit final public disclosure doc to HTC Global for feedback
- 2012-01-31: HTC publishes information via their web site
- 2012-01-20: Public disclosure ? postponed
- 2012-01-19: Discussion with HTC Global on their time schedule
- 2012-01-05: Conference call with HTC Global
- 2012-01-02: Public disclosure ? postponed
- 2011-12-05: Discussed public disclosure time frames with HTC and Google
- 2011-10-11: Updated all individuals and groups that are aware of the issue
- 2011-10-11: Follow-up conference call with HTC Global and Google
- 2011-09-19: Updated all individuals and groups that were aware of the issue
- 2011-09-19: Conference call with HTC Global and Google
- 2011-09-08: HTC and Google verified exploit
- 2011-09-07: Notified key government agencies and CERT under non-public disclosure
- 2011-09-07: Initial email and phone call with HTC Global and Google

EDIT: ich vermute es handelt sich um das Passwort des Radius Servers. Die Lücke dürfte daher eher für Firmen interessant sein - ein privater verwendet selten einen Radius Server.

03.02.2012, 11:56 Uhr - Editiert von User64693, alte Version: hier

Tja, man nehme halt kein HTC....

... und kein LG und kein Samsung

das einzig annehmbare Android Phone ist das Galaxy Nexus - alle anderen werden so schlecht mit Updates versorgt, dass es ein Graus ist!

und komm jetzt nicht mit custom-roms - die laufen nämlich ohne aktuelle Treiber vom Hersteller alles andere als fehlerfrei...

z.b. ICS Port fürs Galaxy S:
Known Issues

    Camera does not support scene modes
    FM Radio does not work.
    Phone unnecessarily gets data connection on device encryption
    password enter screen.
    Cannot format external SD *
    Android OS battery usage display higher than normal.
    Sometime wrong SMS selected for forwarding
    Format internal instead of external SD when requested to format ext. SD
    Transfer speed slows down when screen off
    Screenshot shutter sound
    Camera crashes when changing resolution
    TV Out using HW-decoding (probably won't be fixed)
    Sim Toolkit (probably won't be fixed)
    No camera focus mode setting
    Back camera does not record geotagging
    Compass doesn't work in Google Maps v6
    Unable to dial "0001" in some regions
    Regression in BUILD 15: Superuser application crashes (fix)
    Regression in BUILD 15: Data Roaming enabled by default
    Slow USB transfer speed for some people
    Camera still photos problem after recording video
    Note: there are a lot of new options in Settings, but many of them are
    not implemented yet. DO NOT REPORT THEM AS BUGS. Additionally, some
    users has reported boot failure after disabling boot animation.

06.02.2012, 19:03 Uhr - Editiert von User64693, alte Version: hier

bei einigen Android-Handys wurde wieder mal eine Sicherheitslücke gefunden:

Es kann dazu führen, dass Apps das Passwort und SSID auslesen und unter Umständen an einen externen Server senden.

http://www.heise.de/newsticker/meldung/HTC-Smartphones-schlampen-mit-WLAN-Passwoertern-1427359.html

hier die Timeline bis zur Veröffentlichung der Lücke:

http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html

Timeline
- 2012-02-01: Public disclosure
- 2012-01-31: Submit final public disclosure doc to HTC Global for feedback
- 2012-01-31: HTC publishes information via their web site
- 2012-01-20: Public disclosure ? postponed
- 2012-01-19: Discussion with HTC Global on their time schedule
- 2012-01-05: Conference call with HTC Global
- 2012-01-02: Public disclosure ? postponed
- 2011-12-05: Discussed public disclosure time frames with HTC and Google
- 2011-10-11: Updated all individuals and groups that are aware of the issue
- 2011-10-11: Follow-up conference call with HTC Global and Google
- 2011-09-19: Updated all individuals and groups that were aware of the issue
- 2011-09-19: Conference call with HTC Global and Google
- 2011-09-08: HTC and Google verified exploit
- 2011-09-07: Notified key government agencies and CERT under non-public disclosure
- 2011-09-07: Initial email and phone call with HTC Global and Google

02.02.2012, 18:41 Uhr - Editiert von User64693, alte Version: hier

Dazu müsse sie nur die Eigenschaft .toString() der Klasse WifiConfiguration abrufen

Na leck-o-mio, so einfach kanns gehen. *facepalm*

Für was für Debugzwecke muss ich das Wifi-Passwort sehen?!?!

Die SSID ausgeben hat ja nach einen Sinn, aber das Passwort...
...

Apple Fans sind wie Zeugen Jehovas. Es ist sinnlos mit ihnen zu reden..

Why not ZOIDBERG? (V)_(°,,,°)_(V)
(-.(-.(-.(-.-).-).-).-)

Wenn sich Unbedachtsamkeit und Dummheit paaren... vielleicht sollte ich mir doch ein Nexus zulegen, da bleibt einem wenigstens das Herumpfuschen Dritter erspart.

Echt deppat von HTC das sie ned zumindestens die betroffenen Gerätetypen bekanntgeben, so könnte der User ja WLAN abschalten um zumindestens - bis der Patch bereitsteht - nicht anfällig zu werden.

Ich sags ja immer Cyanogen FTW!

Where there is a shell, there is a way!

betroffen sind:

Affected Versions
We have verified the following devices as having this issue (there may be others including some non-HTC phones):

Desire HD (both "ace" and "spade" board revisions) - Versions FRG83D, GRI40
Glacier - Version FRG83
Droid Incredible - Version FRF91
Thunderbolt 4G - Version FRG83D
Sensation Z710e - Version GRI40
Sensation 4G - Version GRI40
Desire S - Version GRI40
EVO 3D - Version GRI40
EVO 4G - Version GRI40

Nein ich meinte den Patch, hab aber nur den von Dir verlinkten Heiseartikel gelesen, dort steht "Einige wenige Modelle benötigten jedoch ein manuelles Update, das man nächste Woche eben dort bereitstellen werde. Welche Modelle das sind, verrät HTC jedoch nicht.". Die könnten ja zumindestens das WLAN abdrehen, der Rest ist ja großteils bereits behoben.

Where there is a shell, there is a way!

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung