继去年10月发生
Sense UI的安全隐患后,HTC手机的另一个安全问题又浮出水面。研究人员发现,HTC旗下部分Android手机存在泄露连接Wifi的安全证书的隐患。HTC官方也确了
这一安全隐患,表示已有多数机型通过自动升级的方式安装了漏洞补丁,但部分机型需要手动安装来修复。
Chris Hessing和Bret Jordan在博客中
详细介绍了漏洞的详情。他们发现,在部分HTC Android手机中,只要应用获得android.permission.ACCESS_WIFI_STATE权限,就可以调用WifiConfiguration类中的.toString()方法,查看手机中存储的所有802.1X认证和SSID信息。如果应用还取得android.permission.INTERNET权限,就可以将用户名、密码和SSID信息发送给互联网上的远端服务器。其实,该漏洞早在去年9月7日就被Hessing和Jordan发现。在随后的数月内,两人与HTC和Google合作解决这个漏洞问题。
以下为受漏洞影响的HTC Android手机
*Desire HD (包括“Ace” 和“Spade” ) - 版本FRG83D, GRI40
*Glacier - 版本FRG83
*Droid Incredible - 版本FRF91
*Thunderbolt 4G - 版本FRG83D
*Sensation Z710e - 版本GRI40
*Sensation 4G - 版本GRI40
*Desire S - 版本GRI40
*EVO 3D - 版本GRI40
*EVO 4G - 版本GRI40
漏洞的详情已被报告给安全机构US-CERT,
查看详细。
via
TNW