HTC已经承认它的某些型号的手机处理特殊安卓(3G门户客户端Android版)指令的方式存在安全漏洞,可能会暴露它们所连接的WiFi网络的安全证书。
安全研究员克里斯赫辛(Chris Hessing)和布莱特乔丹(Bret Jordan)发现,如果一部存在安全漏洞的HTC手机获得了android.permission.ACCESS_WIFI_STATE许可,那么它上面的任何一款安卓应用程序都可以在WiFi配置级别发出.toString()令,要求查阅WiFi网络上的所有证书。
如果存在漏洞的HTC手机还获得了android.permission.INTERNET许可,那么攻击者就能获得更多详细信息并将那些信息发送到互联网上的远程服务器。
据悉,受到该安全漏洞影响的HTC手机包括以下型号:Desire HD——Versiongs FRG83D、GRI40;Glacier——Version FRG83;Droid Incredible——Version FRF91;Thunderbolt 4G——Version FRG83D;Sensation Z710e——Version GRI40;Sensation 4G——Version GRI40;Desire S——Version GRI40;EVO 3D——Version GRI40;EVO 4G——Version GRI40。
笔者发现,MyTouch 3G和Nexus One没有受到该漏洞的影响。
HTC于1月31日在其支持网站发布了一份安全公告,提醒用户注意。公告称:“HTC已经针对影响部分HTC手机的WiFi问题开发出了相关补丁。大多数手机已经通过常规更新和升级接受了这个补丁。但是,某些型号的手机需要用户手动安装该补丁。如果需要升级手机,请在下周访问本网站并手动下载该补丁。”
赫辛和乔丹最早是在2011年9月7日发现这个问题的,随后便一直在与HTC和谷歌合作查找原因并帮助它们发布补丁。
这个问题要求用户安装一款专门用来搜集用户详细信息的应用程序。这个问题的实际影响也许很小,因为这款应用程序并不是热门应用,但安全隐患确实存在。