HTC承認(rèn)其Android手機(jī)漏洞或泄露WiFi密碼

2012-02-04 09:00 作者：admin

北京時間2月2日消息，據(jù)國外媒體報道，宏達(dá)電（HTC）日前承認(rèn)該公司的部分手機(jī)處理特定Android請求的方式存在漏洞，可能從而暴露這些手機(jī)所連接的WiFi網(wǎng)絡(luò)的安全憑證。

研究人員克里斯·赫斯(Chris Hessing)及布雷特·喬丹(Bret Jordan)發(fā)現(xiàn)，在受影響的宏達(dá)電手機(jī)上，帶有android.permission.ACCESS_WIFI_STATE權(quán)限的任何Android應(yīng)用都能夠調(diào)用WifiConfiguration上的.toString()指令，查看無線網(wǎng)絡(luò)的所有安全認(rèn)證。

如果結(jié)合android.permission.INTERNET權(quán)限，黑客就可以獲得相關(guān)的詳細(xì)信息，并通過互聯(lián)網(wǎng)發(fā)至遠(yuǎn)程服務(wù)器。

該漏洞影響下列手機(jī)：

Desire HD-Versions FRG83D, GRI40

Glacier-Version FRG83

Droid Incredible-Version FRF91

Thunderbolt 4G-Version FRG83D

Sensation Z710e-Version GRI40

Sensation 4G-Version GRI40

Desire S-Version GRI40

EVO 3D-Version GRI40

EVO 4G-Version GRI40

宏達(dá)電于1月31日在其支持網(wǎng)站上發(fā)布公布，向用戶警告這個漏洞的存在：“宏達(dá)電已經(jīng)開發(fā)出一個補丁，修復(fù)部分宏達(dá)電手機(jī)上的一個WiFi小問題。大部分手機(jī)已經(jīng)通過常規(guī)更新收到了這個補丁。但是，部分手機(jī)將需要手動下載以就行修復(fù)。請在下周了解更多有關(guān)這個補丁的信息，如果你需要更新自己的手機(jī)請進(jìn)行手動下載。”

好消息是，大部分宏達(dá)電手機(jī)將自動通過打補丁修復(fù)這個漏洞，但是部分手機(jī)需要用戶手動下載這個補丁。宏達(dá)電表示，用戶應(yīng)該在下周到官網(wǎng)了解更多詳細(xì)信息。

赫斯和喬丹在2011年9月7日發(fā)現(xiàn)這個問題，并在接下來幾個月與宏達(dá)電和谷歌合作尋找原因。

這個漏洞的存在需要用戶安裝了特定用于采集用戶信息的應(yīng)用軟件。這個漏洞的影響很小，事實上這樣的應(yīng)用不會普及，但安全風(fēng)險確實存在。