Nieuwe Androidtoestellen HTC enorm kwetsbaar voor hacks

In alle nieuwe HTC-toestellen die op Android lopen, heeft HTC software gezet die het hackers bijzonder eenvoudig maakt om het toestel op afstand compleet ongemerkt over te nemen en er allerlei gegevens uit te vissen, waaronder de laatstbekende locatie van de eigenaar, laatstgebelde nummers, sms-jes enzovoorts.

HTC Evo 3D

Dat meldt Android Police, die met hacker Justin Case de kwetsbaarheden heeft ontdekt. Dat malafide apps die ondoordacht op een Androidtoestel worden geïnstalleerd op afstand de boel kunnen overnemen is niets nieuws, wel is nieuw dat HTC de ramen en deuren van de nieuwste toestellen zelf wagenwijd heeft opengezet door remote-bedieningssoftware op de toestellen te zetten die heel eenvoudig van ‘ buiten’ kan worden benaderd.

Het enige dat een app nodig heeft om van de HTC-software gebruik te maken, is toestemming voor toegang tot internet. Die toestemming wordt door bijna alle apps gevraagd. Via de internettoegang kunnen de achterdeurtjes van HTC eenvoudig worden geopend, en komt voor hackers een schat aan informatie over de gebruiker vrij. Zo kunnen sms-jes worden gelezen, de belhistorie bekeken, locatie- en surfgegevens worden opgehaald en nog veel meer.

De software is waarschijnlijk door HTC op de toestellen gezet om gebruikers met problemen op afstand te kunnen helpen door het toestel met behulp van remote-bedieningssoftware over te nemen. Maar elke app met internettoegang blijkt dus in staat te zijn om datzelfde te doen, ongeautoriseerd door de gebruiker.

In principe moet het zo mogelijk zijn om bijvoorbeeld de bankrekening van ING-klanten te plunderen. De hacker hoeft uit het toestel alleen de gebruikersnaam en wachtwoord voor de ING-website te vissen. De gebruikersnaam zit vaak in de cache van de browser, en het wachtwoord is vaak tamelijk eenvoudig te achterhalen, zeker als die elders op het volledig openstaande toestel is opgeborgen. Daarmee kunnen alleen de rekeninggegevens worden bekeken. Maar veel voormalige Postbankklanten kunnen via een sms met een cijfercode (tancode) overschrijvingen verrichten. Die sms-jes kunnen dus ook eenvoudig worden geopend door kwaadwillenden. Die op die wijze een overschrijving naar zichzelf kunnen doen, terwijl de telefoon in de broekzak van de eigenaar zit.

Android Police heeft via een zelfgeschreven app die alleen maar internettoegang aanvroeg bij de gebruiker geprobeerd toegang tot de HTC-software te krijgen op de laatste lichting HTC-toestellen zoals de Evo 3D en de alleen in de VS verkochten Evo 4G en Thunderbolt. Maar de site vermoedt dat veel meer toestellen dezelfde kwetsbaarheden vertonen, zoals de Sensation en andere toestellen die recent zijn gelanceerd met de laatste HTC Sense-software.

Bron: Android Police

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Er zijn nog geen reacties op dit artikel achter gelaten. Ben jij de eerste?

Meld je aan voor onze nieuwsbrief!

Contact met ons?

  • Qontent Matters
  • Czaar Peterstraat 159
  • 1018 PJ Amsterdam

Volg ons via