据国外媒体报道,宏达电(HTC)日前承认该公司的部分手机处理特定Android请求的方式存在漏洞,可能从而暴露这些手机所连接的WiFi网络的安全凭证。
研究人员克里斯·赫斯(Chris Hessing)及布雷特·乔丹(Bret Jordan)发现,在受影响的宏达电手机上,带有android.permission.ACCESS_WIFI_STATE权限的任何Android应用都能够调用WifiConfiguration上的.toString()指令,查看无线网络的所有安全认证。
如果结合android.permission.INTERNET权限,黑客就可以获得相关的详细信息,并通过互联网发至远程服务器。
该漏洞影响下列手机:
Desire HD-Versions FRG83D, GRI40
Glacier-Version FRG83
Droid Incredible-Version FRF91
Thunderbolt 4G-Version FRG83D
Sensation Z710e-Version GRI40
Sensation 4G-Version GRI40
Desire S-Version GRI40
EVO 3D-Version GRI40
EVO 4G-Version GRI40
宏达电于1月31日在其支持网站上发布公布,向用户警告这个漏洞的存在:“宏达电已经开发出一个补丁,修复部分宏达电手机上的一个WiFi小问题。大部分手机已经通过常规更新收到了这个补丁。但是,部分手机将需要手动下载以就行修复。请在下周了解更多有关这个补丁的信息,如果你需要更新自己的手机请进行手动下载。”
好消息是,大部分宏达电手机将自动通过打补丁修复这个漏洞,但是部分手机需要用户手动下载这个补丁。宏达电表示,用户应该在下周到官网了解更多详细信息。
赫斯和乔丹在2011年9月7日发现这个问题,并在接下来几个月与宏达电和谷歌合作寻找原因。
这个漏洞的存在需要用户安装了特定用于采集用户信息的应用软件。这个漏洞的影响很小,事实上这样的应用不会普及,但安全风险确实存在。