HTC手機再出安全問題，Wifi密碼存在泄露隱患

繼去年 10 月發生 Sense UI 的安全隱患后，HTC 手機的另一個安全問題又浮出水面。研究人員發現，HTC 旗下部分 Android 手機存在泄露連接 Wifi 的安全證書的隱患。HTC 官方也確了這一安全隱患，表示已有多數機型通過自動升級的方式安裝了漏洞補丁，但部分機型需要手動安裝來修復。

Chris Hessing 和 Bret Jordan 在博客中詳細介紹了漏洞的詳情。他們發現，在部分 HTC Android 手機中，只要應用獲得 android.permission.ACCESS_WIFI_STATE 權限，就可以調用 WifiConfiguration 類中的 .toString ()方法，查看手機中存儲的所有 802.1X 認證和 SSID 信息。如果應用還取得 android.permission.INTERNET 權限，就可以將用戶名、密碼和 SSID 信息發送給互聯網上的遠端服務器。其實，該漏洞早在去年 9 月 7 日就被 Hessing 和 Jordan 發現。在隨后的數月內，兩人與 HTC 和 Google 合作解決這個漏洞問題。

以下為受漏洞影響的 HTC Android 手機

• Desire HD (包括“Ace” 和“Spade” ) – 版本 FRG83D, GRI40
• Glacier – 版本 FRG83
• Droid Incredible – 版本 FRF91
• Thunderbolt 4G – 版本 FRG83D
• Sensation Z710e – 版本 GRI40
• Sensation 4G – 版本 GRI40
• Desire S – 版本 GRI40
• EVO 3D – 版本 GRI40
• EVO 4G – 版本 GRI40

漏洞的詳情已被報告給安全機構 US-CERT，查看詳細。

via TNW