據外國媒體報導,HTC 日前承認該公司的部分手機處理特定 Android 請求的方式存在漏洞,並有機會暴露這些手機所連接的 Wi-Fi 網絡的安全憑證。
研究人員 Chris Hessing 及 Bret Jordan 發現,在受影響的手機上,帶有 android.permission.AC CES S_WIFI_STATE 權限的任何 Android Apps 都能夠調用 Wi-fiConfiguration 上的 .toString() 指令,查看無線網絡的所有安全認證。
如果結合 android.permission.INTERNET 權限,黑客就可以獲得相關的詳細信息,並通過互聯網發至遠端伺務器。
受影響的手機如下:
Desire HD-Versions FRG83D, GRI40
Glacier-Version FRG83
Droid Incredible-Version FRF91
Thunderbolt 4G-Version FRG83D
Sensation Z710e-Version GRI40
Sensation 4G-Version GRI40
Desire S-Version GRI40
EVO 3D-Version GRI40
EVO 4G-Version GRI40
HTC 於 1 月 31 日在網站上發佈,並向用戶警告這個漏洞的存在:“宏達電已經開發出一個補丁,修復部分宏達電手機上的一個 Wi-Fi 小問題。大部分手機已經通過常規更新收到了這個補丁。但是,部分手機將需要手動下載以就行修復。請在下週了解更多有關這個補丁的信息,如果你需要更新自己的手機請進行手動下載。”
Chris Hessing 與 Bret Jordan 早在 2011 年 9 月 7 日發現這個問題,並與 HTC 及 Google 合作尋找原因。
這個漏洞的存在需要用戶安裝了特定用於採集用戶信息的 Apps。這個漏洞的影響很小,但安全風險確實存在。
所以受影響的朋友可考慮暫時按兵不動,到下星期再多了解後才進行更新。