Bug in HTC-toestellen laat apps wifi-wachtwoorden stelen

HTC heeft bevestigd dat verscheidene van zijn Android-smartphones kwetsbaar zijn voor een bug waarbij het wachtwoord voor een wifi-verbinding achterhaald kan worden. Een update om de problemen te verhelpen, wordt al uitgerold.

De bug verscheen in een Amerikaanse overheidsdatabase en werd ontdekt door ontwikkelaar Chris Hessing. De meldingspagina geeft aan dat applicaties die toestemming hebben om de wifi-status van het Android-apparaat te bekijken, het wachtwoord voor het maken van verbinding in kunnen zien. Normaalgesproken is het wachtwoord afgeschermd, maar door een fout kunnen applicaties deze in plain text inzien. Het wachtwoord zou vervolgens gemakkelijk gestolen kunnen worden; wanneer de app internettoegang heeft, kan deze doorgestuurd worden naar de servers van de ontwikkelaars.

Uit de publicatie blijkt dat een groot aantal HTC-smartphones vatbaar is voor het lek. Van de toestellen die ook in Nederland worden verkocht, gaat het om de Desire S, Desire HD, Sensation en Evo 3D. Het is onbekend of er momenteel misbruik wordt gemaakt van de bug. De Android Market zou in ieder geval geen software bevatten die hiervan misbruik maakt, zo concludeerde Google na een scan.

Voorheen was de bug ook te vinden in de standaardversie van Android, maar Google heeft hier enige tijd geleden een fix voor uitgebracht. HTC gebruikt echter een aangepaste versie van Android, onder meer om zijn eigen skin Sense te kunnen draaien. Daardoor zijn vele toestellen nog vatbaar voor het probleem, maar de fabrikant heeft inmiddels wel een software-update uitgebracht. Deze wordt over-the-air uitgerold voor gebruikers die over een toestel beschikken dat vatbaar is voor het lek. Voor sommige toestellen is het echter noodzakelijk om handmatig de update te installeren; deze verschijnt in de komende weken online. Android-smartphones van andere fabrikanten zouden geen last hebben van de wifi-bug.

Reacties (48)

Minaaj 2 februari 2012 16:19

Dit is inderdaad bij developers al langer bekend; google heeft ook een search op de market uitgevoerd om te kijken of applicaties gebruik maken van deze exploit maar dat was niet het geval.

Before you freak out, however, know that the vulnerability was reported in private to both Google and HTC, who were then given ample time (over 4 months) to not only come up with fixes, but also roll them out to devices. Additionally, Google performed a full scan of all applications in the Market and found none that exploited this specific vulnerability.

Custom rom van AOSP heeft hier verder dus ook geen last van, zoals CM7 of andere self made roms.

Hopelijk komen ze ook echt snel bij de Sense gebruikers met een update.

[Reactie gewijzigd door Minaaj op 25 juli 2024 03:36]

AzzKickah 2 februari 2012 16:20

En hoe scant Google dan even elke app in de hele Market?
Scannen ze in de code van die apps? Ik bedoel.. hoe?

Maarten21

@AzzKickah • 2 februari 2012 16:35

Kunnen ze niet kijken naar bepaalde calls die apps maken? Die WiFi passwords staan op een bepaalde plek. Je zou in de code kunnen zoeken of een app die plek probeert te lezen.

- peter -

@AzzKickah • 2 februari 2012 16:41

Ja, het lijkt me dat ze gewoon de apk's scannen naar code die het veld gebruikt. En ze hebben niets gevonden.

_eXistenZ_ @- peter - • 2 februari 2012 17:27

Niet zo dus, maar zoals Maarten12 aangeeft

ndonkersloot 2 februari 2012 17:31

Ben ik hier de enige die vexxon begrijpt? Vexxon heeft volkomen gelijk, hij haalt android niet naar beneden of prijst iOS en of Windows Phone niet aan. Hij zegt alleen dat dit de zwakte van android laat zien waar hij 100% gelijk in heeft. Dit kan je niet ontkennen of je nu een android lover bent of een hater. Doordat er zoveel verschillende toestellen plus skins zijn treed er fragmentatie op. Je moet het zien als: ik koop een acer compueter in de winkel want ik vind dat acer hele mooie wallpapers heeft en windows vanuit acer een mooi thema mee krijgt (stel). Dan blijkt er een gruwelijke bug in wondows zitten en windows patcht deze direct.. echter doordat acer een apart thema mee levert krijg je deze update niet. Of een stuk later. Dat is toch idioot of ligt dat nou aan mij?

Ik besef zeer goed dat ieder OS zijn bugs heeft maar hij zegt alleen dat deze bug voorkomen had kunnen worden als android niet zo gefragmenteerd was. Wat direct androids zwakte is.

Angelevo @ndonkersloot • 2 februari 2012 17:40

Dit is m.i. niet zozeer een kwestie van niet begrijpen, meer niet mee eens zijn. Het is vanuit mijn perspectief niet een kwetsbaarheid van Android zelf, maar een kwetsbaarheid van de eigen software van fabrikanten, die ze gebruiken met Android.

Android zelf is gemiddeld net zo veilig (/onveilig) als alle andere operating systems, afhankelijk van hoe Google er mee omgaat.

We kunnen hier ellenlange discussies over voeren, maar het zal toch terug moeten komen bij deze basis.

Vexxon @Angelevo • 2 februari 2012 19:06

Tiwazz verwoordt het goed, dat is exact zoals ik het ook bedoelde.

Ik ben het met je eens dat Android gemiddeld net zo veilig is als ieder ander OS. Ik heb ook nooit anders beweerd.
De kwetsbaarheid zit hem mijns inziens juist in het feit dat fabrikanten hun eigen versie van het OS op toestellen kunnen plaatsen en bepalen hoe en wanneer deze ge-update wordt. En dat vanwege een skin. Precies zoals jij dus ook aangeeft.
Ik zie dat eigenlijk als onlosmakelijk van Android. Wanneer je een toestel met Android koopt is het maar afwachten of en wanneer je updates krijgt van de fabrikant.

Je kunt je misschien afvragen of Google niet, zoals Apple en Microsoft doen, een wat strenger beleid moeten voeren betreffende updates.

[Reactie gewijzigd door Vexxon op 25 juli 2024 03:36]

blouweKip @Vexxon • 2 februari 2012 19:35

De crux is dat het niet direct een groot probleem is, uiteindelijk zal het via marktwerking steeds kleiner worden voor die gebruikers die dit een probleem vinden: het kind (vrijheid, flexibiliteit) met het badwater weggooien (door iOS/WM7 style walled gardens te maken) lijkt me behoorlijk onwenselijk.

Vexxon @blouweKip • 3 februari 2012 08:03

Voor een tweaker is die vrijheid inderdaad zeer gewenst. Voor de gemiddelde gebruiker daarentegen, en daar zijn er iets meer van denk ik, zal het worst zijn, die gaan een telefoon niet tweaken.
Nu kan ik niet precies inschatten hoe ernstig deze bug is, maar dat is het punt niet.
Het feit dat er duizenden mensen met een telefoon lopen met een bug welke niet gefixed wordt vanwege een skin is toch op zijn minst knullig te noemen.

LollieStick @Vexxon • 3 februari 2012 09:43

Het feit dat er duizenden mensen met een telefoon lopen met een bug welke niet wel gefixed wordt vanwege een skin is toch op zijn minst knullig vanzelfsprekend te noemen.

Kleine correctie....

De patch wordt immers al uitgerold.

[Reactie gewijzigd door LollieStick op 25 juli 2024 03:36]

Vexxon @LollieStick • 3 februari 2012 10:37

Dat had ik inderdaad wat moeten nuanceren. Ik doelde meer op bugs en updates in het algemeen.

jerry1985 2 februari 2012 16:50

Ik snap dat het niet helemaal gewenst is maar wat kan een ontwikkelaar nou met wachtwoord van je wifi?

Angelevo @jerry1985 • 2 februari 2012 17:11

Een ontwikkelaar kan in theorie kwade bedoelingen hebben en deze informatie verzamelen om door te verkopen. De locatie van het netwerk is tegenwoordig ook relatief makkelijk te achterhalen. De combinatie van deze informatie kan gebruikt worden om je verbinding te kapen.

Toegegeven, dit scenario vind ik zelf ook wat vergezocht - neemt niet weg dat je de mogelijkheid toch moet blokkeren.

Fearsome0ne 2 februari 2012 17:22

Dus als ik het goed lees worden wachtwoorden PLAIN TEXT opgeslagen?

Anders zou je ze toch ook niet plain text kunnen uitlezen of wel...

hberntsen

@Fearsome0ne • 2 februari 2012 17:39

Ze worden idd plain text opgeslagen. Met een app als WiFi Advanced Config Editor kan je zonder root toegang gewoon de wachtwoorden uitlezen.

Als je je apparaat geroot hebt kan je naar /data/misc/wifi/wpa_supplicant.conf gaan met een text editor en zo de wachtwoorden zien.

Montaner 2 februari 2012 16:21

Net zoals iedere applicatie in Windows de registry uit kan lezen en overdreven simpel alle WiFi wachtwoorden kan achterhalen?

Of dit nou echt zo spannend is als het mensen doet geloven..

WhiteSnake76 2 februari 2012 17:58

Telefoon kreeg net vandaag een update... (HTC Wildfire S) zou dat hem al geweest zijn dan?

South_Styler 2 februari 2012 18:50

Ik ben in het bezit van een Desire HD, maar nog geen software update gehad. Die zal nog wel volgen.

Ik vind het wel een schadelijke zaak dat HTC zulke blunders maakt. het zal hun reputatie mogelijk wel raken...

Biersteker 2 februari 2012 19:36

Boeiend, google doet het zelf ook. (Kijk maar even goed in je device bij de permissies die je google geeft. Instellingen->Privacy->Back-up mijn gegevens: Back-up toep.gegevens, Wi-Fi-wachtwoorden en andere instell. op Google servers.)

En buiten dat,
Wifi is altijd te kraken, tenzij je met private keys cq. RADIUS servers werkt. Trouwens en zelfs dan zou het nog kunnen.

[Reactie gewijzigd door Biersteker op 25 juli 2024 03:36]

FrankSpin 2 februari 2012 16:23

Langzaam maar zeker komt de zwakte van Android aan het licht. Vrijheid is mooi, maar uiteindelijk gaat dit ten koste van de veiligheid en kwaliteit van het systeem.

Het zou mij niet verbazen als je met een jaar nog meer verschillende stromingen krijgt. HTC heeft de trend ingezet met hun eigen Skin. Je ziet nu al hoe succes dat is ;-)

Fly-guy

@FrankSpin • 2 februari 2012 16:44

En denk je nu werkelijk dat ios of wp7 geen bugs bevat die kwetsbaarheden blootleggen?
En de voor- en nadelen van skins zijn al uitvoerig bepraat, daar kun je voor of tegen zijn, maar het gaat niet weg en je kunt zelfs zeggen dat HTC er juist voordeel aan heeft, er zijn mensen die specifiek voor HTC kiezen (mede) gebaseerd op sense. Je kunt het dus wel degelijk een succes noemen.

Ramon @Fly-guy • 2 februari 2012 16:48

@iedereen hierboven:
En toch ben ik het met FrankSpin eens. Zwakte is misschien een groot woord, maar de manier waarop het nu werkt heeft HTC zijn eigen versie van Android die dus blijkbaar niet ten volle profiteert van het werk wat Google doet. En dat is, hoe je het ook wend of keert, een nadeel van het Android-systeem.

blouweKip @Ramon • 2 februari 2012 19:31

Ach, het is maar een klein probleem als je naar de voordelen kijkt, op andere populaire systemen (iOS en blackberry OS) kun je helemaal niets als er kwetsbaarheden in zitten.

Een klein beetje fragmentatie lijkt me een kleine prijs voor de keuzevrijheid die je hierdoor als eindgebruiker hebt.

Vexxon @Fly-guy • 2 februari 2012 17:03

En denk je nu werkelijk dat ios of wp7 geen bugs bevat die kwetsbaarheden blootleggen?

Dat beweert hij toch ook nergens?

En de voor- en nadelen van skins zijn al uitvoerig bepraat, daar kun je voor of tegen zijn, maar het gaat niet weg en je kunt zelfs zeggen dat HTC er juist voordeel aan heeft, er zijn mensen die specifiek voor HTC kiezen (mede) gebaseerd op sense. Je kunt het dus wel degelijk een succes noemen.

Dus als iets niet weggaat dien je het maar te accepteren en eventuele kritische bugs voor lief te nemen?
Dus omdat HTC er succes mee heeft is het voor mij als consument ok dat er kritische bugs in een systeem zitten?
Dus jij vindt het ook niet erg als in Windows een kritische bug zit en niet gefixed wordt puur vanwege een specifieke wallpaper?
Dat vind ik oprecht vreemd.

Fly-guy

@Vexxon • 2 februari 2012 19:54

Dat beweert hij indirect wel, hij koppelt deze bug aan zijn opvatting over al dan niet aanwezige zwakheden van android. Met andere woorden, alsof deze bug dus alleen in android kan voor komen.
En juist deze bug wordt wel degelijk gefixed, zoals in het artikel staat is men al een patch aan het uitrollen.

Angelevo @Vexxon • 2 februari 2012 17:09

@Ramon ik ben het met je eens - HTC had dit eerder moeten oppikken.

Vexxon, ik krijg van jou het idee dat je hier slechts confrontatie aan het opzoeken bent. Niemand beweert dat het OK is dat er een bug in HTC's android versie zit. Ja: Er is een probleem met een oudere versie van Android, gebruikt door HTC. Dit betekent echter niet direct dat Android in het geheel zo lek als een mandje is.

Ieder systeem heeft zijn voor- en nadelen. Ikzelf ben fan van Windows (7) en Android, waar anderen alleen maar Mac met iOS willen, en de volgende niets anders willen dan Linux etc. (dus ook android, maar dat terzijde). Laten we niet kinderachtig doen en 'afkraken' wat we liever niet gebruiken.

EDIT: Semantics.

[Reactie gewijzigd door Angelevo op 25 juli 2024 03:36]

Angelevo @Vexxon • 2 februari 2012 17:48

Frankspin rept over "de zwakte van Android" en jij bekrachtigt/verdedigd zijn standpunt. Je hebt het zelf niet genoemd, maar zo de connectie.

We kunnen het wel met elkaar eens zijn over het laatstgenoemde - een skin mag de veiligheid niet in het geding brengen - laten we het daar bij laten.

Soldaatje @FrankSpin • 2 februari 2012 16:26

Het is gewoon een bug, kan in elk systeem zitten.
Vraag me wel af in welke Android versie deze bug zit, en in welke niet meer?
In ieder geval Chris Hessing en Bret Jordan bedankt voor het vinden en dat ze dit vier maanden stil hebben gehouden.

[Reactie gewijzigd door Soldaatje op 25 juli 2024 03:36]

_eXistenZ_ @FrankSpin • 2 februari 2012 17:29

Mooi hoor, een Apple-fanboi...

Wat jij aanhangt is het zogeheten Security trough Obscurity

http://en.wikipedia.org/wiki/Security_through_obscurity

Angelevo @FrankSpin • 2 februari 2012 16:27

Dit vind ik erg kort door de bocht. Ik zou graag krachttermen gebruiken om aan te duiden hoe onnozel ik je reactie vind, echter is dat onwenselijk. Elk OS heeft kwetsbaarheden. Zoals in het artikel duidelijk wordt aangegeven heeft Google deze issue gevonden en opgelost, HTC heeft alleen nog wat problemen doordat ze een verouderde build gebruiken i.v.m. hun sense-skins.

Dus, graag wat beter lezen voordat je dit soort posts maakt.

Vexxon @Angelevo • 2 februari 2012 16:59

Ik snap niet waarom de comment van FrankSpin weggemod wordt en vooral ongewenst is nogal overdreven. Blijkbaar is iemand op zijn ziel getrapt wanneer er kritisch over Android gepsroken wordt.
Daarbij vind ik jou reactie van een veel lager niveau, jij noemt iemand zijn reactie onnozel en onwenselijk en dat terwijl hij zijn reactie on-topic is en juist een goed punt bevat in plaats van een mening.

Het feit dat deze bug nog steeds bestaat/nu pas gefixed wordt voorbepaalde HTC-toestellen is direct verzoorzaakt door de fragmentatie van Android. En dat alleen maar voor een skin.

Tuurlijk kan elk systeem een bug bevatten, maar het feit dat deze, naar mijn mening, kritische bug niet gefixed is in bepaalde toestellen door de fragementatie legt toch wel een zwakte bloot van het systeem.
En dat, nogmaals, alleen maar voor een skin.

Dus voortaan wat verder denken dan je neus lang is voordat je iemand afbrandt.

Angelevo @Vexxon • 2 februari 2012 17:05

Vexxon, dit wordt een beetje sneu. Lees mijn post, zijn post en dan de topic zelf nog eens - misschien dat je dan een fatsoenlijk antwoord kunt geven.

Om ook nog even een on-topic reactie te geven, ik vind het vreemd dat HTC dit probleem niet eerder heeft opgelost, daar Google het eerder al heeft gevonden en gefixed. Aan de andere kant is HTC over het algemeen wel vlot met het uitrollen van fixes waar het nodig is; ik maak me dus geen zorgen.

watercoolertje

Google
Google Android
Mobiele besturingssystemen
HTC
Smartphones

@Vexxon • 2 februari 2012 18:37

Leer nou is lezen, hij zegt niet dat de post ongewenst is, maar juist zijn eigen mening over die post

maargoed dat is bijzaak en staat los van het onderwerp en is totaal niet discussiewaardig (discussie was dan ook niet nodig als jij gewoon goed kon lezen).

Dat HTC blijkbaar oude bestanden in nieuwe builds gebruikt dat is het probleem! Dat staat compleet los van eventuele fragmentatie!

Dus misschien moet je zelf is wat verder denken, of beter lezen voordat JIJ iemand probeert af te branden (ik zeg bewust proberen want het lukt je totaal niet).

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (48)

Sorteer op:

Weergave: