HTC Smartphones pozostawia podatny na ataki Bluetooth

Jeśli masz smartfon HTC z systemem Windows Mobile 6 lub Windows Mobile 6.1, możesz pomyśleć dwa razy, zanim połączysz się z niezaufanym urządzeniem za pomocą Bluetooth. Luka w sterowniku HTC zainstalowanym w tych telefonach może pozwolić osobie atakującej uzyskać dostęp do dowolnego pliku na telefonie lub przesłać złośliwy kod za pomocą Bluetooth - ostrzegł we wtorek hiszpański badacz bezpieczeństwa.

"Urządzenia HTC z systemem Windows Mobile 6 i Windows Mobile 6.1 są podatny na usterkę związaną z przechodzeniem do katalogu w usłudze FTP OBEX Bluetooth ", powiedział badacz ds. bezpieczeństwa Alberto Moreno Tablado w e-mailowej wymianie.

Nie ma to wpływu na telefony HTC z systemem Windows Mobile 5. Aby atak zadziałał, docelowe urządzenie musi mieć włączoną funkcję Bluetooth i udostępnianie plików przez Bluetooth.

"To połączenie można wykonać za pomocą standardowego parowania Bluetooth lub korzystania z MAC MAC Bluetooth atak spoofingu ", powiedział Moreno Tablado, odnosząc się do procesu, w którym atakujące urządzenie próbuje przekonać cel, że jest to kolejne urządzenie na liście sparowanych urządzeń.

Luka w zabezpieczeniach katalogu a umożliwia atakującemu przejście z foldera współdzielonego Bluetooth telefonu do innych folderów, dając im dostęp do danych kontaktowych, wiadomości e-mail, zdjęć lub innych danych przechowywanych w telefonie. Mogą korzystać z tego dostępu do odczytu plików lub przesyłania oprogramowania, w tym złośliwego kodu.

Użytkownicy obawiający się o lukę w zabezpieczeniach powinni unikać łączenia swoich telefonów z niezaufanym telefonem lub komputerem. Mogą też chcieć usunąć wszystkie urządzenia, które są już sparowane ze swoimi telefonami, powiedział.

Ponieważ sterownik, obexfile.dll, jest sterownikiem HTC, dotyczy tylko telefonów z firmy. Jednak HTC jest największym na świecie producentem telefonów z systemem Windows Mobile, sprzedającym telefony pod własną marką, a także telefonami pod kontraktami dla innych firm. Oznacza to, że miliony użytkowników są potencjalnie zagrożone.

Moreno Tablado przetestował lukę w szeregu telefonów HTC, w tym Touch Diamond, Touch Pro, Touch Cruise, Touch Find, S710 i S740, między innymi. "Wygląda na to, że HTC zawiera ten sterownik, który jest podatny na ataki, na wszystkich urządzeniach z systemem Windows Mobile 6 i Windows Mobile 6.1, jako część stosu Bluetooth", powiedział.

Moreno Tablado jako pierwszy zgłosił usterkę Microsoftu w Styczeń, uważając, że problem tkwił w stosie Bluetooth stosowanym w systemie Windows Mobile 6. W tym czasie Tablado nie ujawnił szczegółów technicznych luki, uważając, że był to błąd krytyczny, który narażałby użytkowników na ryzyko, gdyby został ujawniony.

Firma Microsoft odpowiedziała wkrótce po zgłoszeniu luki w zabezpieczeniach, stwierdzając, że wykryli problem spowodowany przez sterownik HTC. Ale kiedy Moreno Tablado poinformował o luce w zabezpieczeniach HTC w lutym, producent telefonu "nie wykazywał zainteresowania", powiedział.

HTC i Microsoft nie mogli od razu uzyskać komentarza.

"Jestem zmuszony upublicznić wszystkich informacje, ponieważ HTC nie wykazał zamiaru wydania poprawki bezpieczeństwa ", powiedział Moreno Tablado, podając link do swojego bloga, gdzie zamieścił szczegółowe informacje o luce.

" Sądzę, że wszystkie nadchodzące urządzenia z systemem Windows Mobile 6.5 będą narażone na atak też, jeśli HTC nie naprawi sterownika ", powiedział.