Poprawka problemów z pakietem HTC dla funkcji Bluetooth w smartfonach

HTC wydała w czwartek aktualizację oprogramowania, która naprawia usterkę Bluetooth ujawnioną wcześniej w tym tygodniu przez hiszpańskiego badacza bezpieczeństwa.

Luka w znalezionym w sterowniku HTC Bluetooth pliku obexfile.dll może pozwolić osobie atakującej uzyskać dostęp do wszystkich plików na telefon podłączając się do niego przez Bluetooth, według Alberto Moreno Tablado, badacza, który odkrył błąd w usłudze FTP OBEX i po raz pierwszy zgłosił go na początku tego roku.

Atak na przemianowanie katalogu OBEX FTP wymaga, aby telefon ofiary miał włączoną Bluetooth włączone i udostępnianie plików Bluetooth jest aktywne. Luka umożliwia atakującemu przejście z foldera współdzielonego Bluetooth telefonu do innych folderów. Daje to osobie atakującej dostęp do danych kontaktowych, wiadomości e-mail, zdjęć lub innych danych przechowywanych w telefonie. Mogą również przesłać oprogramowanie do telefonu, w tym złośliwy kod.

[Więcej informacji: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i tworzenia kopii zapasowych]

Luka dotyczy niemal wszystkich telefonów HTC z systemem Windows Mobile 6 lub Windows Mobile 6.1. Nie dotyczy to telefonów HTC z systemem Windows Mobile 5. Ponieważ błąd znajduje się w sterowniku HTC, problem nie dotyczy telefonów innych firm.

Moreno Tablado powiadomił HTC o usterce w lutym, ale firma tego nie naprawiła i ostatecznie zdecydował się ujawnić szczegóły luka na swoim blogu, aby dać użytkownikom szansę na obronę. Następnego dnia HTC udostępnił poprawkę dla swoich słuchawek Touch Pro, Touch Diamond i Touch HD, które zwiększają bezpieczeństwo Bluetooth.

Ta poprawka usuwa lukę w zabezpieczeniach, która pozwala atakować katalog, powiedział Moreno Tablado.

Touch HD jest wymieniony wśród telefonów HTC, dla których została zaprojektowana poprawka, Moreno Tablado powiedział, że telefon nie zawiera usługi FTP OBEX. Innym telefonem HTC, który nie jest dotknięty, jest Touch Pro 2, który korzysta ze stosu Broadcom Widcomm Bluetooth i nie używa sterownika HTC, który powoduje lukę bezpieczeństwa, powiedział inżynier oprogramowania Broadcom.

Nie było od razu jasne, czy Touch Diamond Telefony 2 i Snap, które są jednymi z najnowszych modeli HTC, są podatne na tę lukę, powiedział Moreno Tablado.

Inne telefony HTC z systemem Windows Mobile 6 i Windows Mobile 6.1 mogą nadal podlegać usterce. W chwili pisania tego artykułu wyszukiwanie w witrynie internetowej HTC pokazało, że firma nie opublikowała jeszcze poprawek dla innych modeli, które korzystają z tego sterownika. HTC nie mógł od razu uzyskać komentarza.

W testach Moreno Tablado potwierdził, że luka w technologii Bluetooth dotyczy ośmiu modeli telefonów HTC: P3600i, Touch Find, S710, P3650, Touch Diamond, Touch Pro, Touch Cruise i S740.

Użytkownicy obawiający się o lukę w zabezpieczeniach powinni wyłączyć Bluetooth lub unikać parowania swoich telefonów z niezaufanym telefonem lub komputerem. Użytkownicy mogą również chcieć usunąć wszystkie urządzenia, które są już sparowane ze swoim telefonem.