據(jù)國外媒體報道,HTC已經(jīng)承認它的某些型號的手機處理特殊安卓(3G門戶客戶端Android版)指令的方式存在安全漏洞,可能會暴露它們所連接的WiFi網(wǎng)絡(luò)的安全證書。
安全研究員克里斯赫辛(Chris Hessing)和布萊特喬丹(Bret Jordan)發(fā)現(xiàn),如果一部存在安全漏洞的HTC手機獲得了android.permission.ACCESS_WIFI_STATE許可,那么它上面的任何一款安卓應(yīng)用程序都可以在WiFi配置級別發(fā)出.toString()令,要求查閱WiFi網(wǎng)絡(luò)上的所有證書。
如果存在漏洞的HTC手機還獲得了android.permission.INTERNET許可,那么攻擊者就能獲得更多詳細信息并將那些信息發(fā)送到互聯(lián)網(wǎng)上的遠程服務(wù)器。
據(jù)悉,受到該安全漏洞影響的HTC手機包括以下型號:Desire HD——Versiongs FRG83D、GRI40;Glacier——Version FRG83;Droid Incredible——Version FRF91;Thunderbolt 4G——Version FRG83D;Sensation Z710e——Version GRI40;Sensation 4G——Version GRI40;Desire S——Version GRI40;EVO 3D——Version GRI40;EVO 4G——Version GRI40。
筆者發(fā)現(xiàn),MyTouch 3G和Nexus One沒有受到該漏洞的影響。
HTC于1月31日在其支持網(wǎng)站發(fā)布了一份安全公告,提醒用戶注意。公告稱:“HTC已經(jīng)針對影響部分HTC手機的WiFi問題開發(fā)出了相關(guān)補丁。大多數(shù)手機已經(jīng)通過常規(guī)更新和升級接受了這個補丁。但是,某些型號的手機需要用戶手動安裝該補丁。如果需要升級手機,請在下周訪問本網(wǎng)站并手動下載該補丁。”
赫辛和喬丹最早是在2011年9月7日發(fā)現(xiàn)這個問題的,隨后便一直在與HTC和谷歌合作查找原因并幫助它們發(fā)布補丁。
這個問題要求用戶安裝一款專門用來搜集用戶詳細信息的應(yīng)用程序。這個問題的實際影響也許很小,因為這款應(yīng)用程序并不是熱門應(yīng)用,但安全隱患確實存在。