HTC Smartphones vänster Sårbar för Bluetooth Attack

Om du har en HTC-smarttelefon som kör Windows Mobile 6 eller Windows Mobile 6.1, kanske du vill tänka två gånger innan du ansluter till en otillförlitlig enhet med Bluetooth. En sårbarhet i en HTC-drivrutin som installerats på dessa telefoner kan tillåta en angripare att komma åt någon fil i telefonen eller ladda upp skadlig kod via Bluetooth, en spansk säkerhetsforskare varnade tisdag.

"HTC-enheter som kör Windows Mobile 6 och Windows Mobile 6.1 är utsatt för en katalogövergripande sårbarhet i Bluetooth OBEX FTP-tjänsten ", säger säkerhetsforskare Alberto Moreno Tablado i en e-postbyte.

HTC-telefoner som kör Windows Mobile 5 påverkas inte.

[Vidare behandlingen: skadlig kod från din Windows-dator]

För attacken till jobbet måste den riktade enheten ha Bluetooth-aktivering och fildelning via Bluetooth aktiverat.

"Den här anslutningen kan göras antingen med standard Bluetooth-parning eller utnyttja Bluetooth MAC spoofing attack ", sade Moreno Tablado och hänvisade till en process där den attackerande enheten försöker övertyga målet att det är en annan enhet på listan över parade enheter.

Katalogen går igenom sårbarheten a En attacker kan flytta från en telefons delade Bluetooth-mapp till andra mappar, vilket ger dem tillgång till kontaktuppgifter, e-postmeddelanden, bilder eller annan data som lagras i telefonen. De kan använda denna åtkomst för att läsa filer eller ladda upp programvara, inklusive skadlig kod.

Användare oroade sig för sårbarheten bör undvika att koppla sina telefoner med en otillförlitlig handenhet eller dator. De kanske också vill radera alla enheter som redan är kopplade till sina telefoner, sade han.

Eftersom drivrutinen obexfile.dll är en HTC-drivrutin, påverkas endast telefoner från företaget. HTC är dock världens största tillverkare av Windows Mobile-telefoner, säljer telefoner under eget varumärke och gör telefoner under avtal för andra företag. Det betyder att miljontals användare är potentiellt utsatta.

Moreno Tablado testade sårbarheten på en rad HTC-telefoner, bland annat Touch Diamond, Touch Pro, Touch Cruise, Touch Find, S710 och S740. "Det verkar som om HTC innehåller den här drivrutinen, som är sårbar, i alla enheter som kör Windows Mobile 6 och Windows Mobile 6.1, som en del av Bluetooth-stacken," sa han.

Moreno Tablado rapporterade först sårbarheten för Microsoft i Januari, trodde problemet var förankrad i Bluetooth-stacken som användes med Windows Mobile 6. Vid den tiden gav Tablado inte tekniska detaljer om sårbarheten, och trodde att det var en kritisk fel som skulle ge användarna risk när det avslöjades.

Microsoft svarade strax efter att sårbarheten rapporterades till dem och sa att de hade bestämt att problemet orsakades av HTC-drivrutinen. Men när Moreno Tablado rapporterade sårbarheten mot HTC i februari visade handenhetstillverkaren "inget intresse", sa han.

HTC och Microsoft kunde inte omedelbart nås för kommentarer.

"Jag är tvungen att gå offentligt med alla informationen eftersom HTC inte visade någon avsikt att släppa en säkerhetsfix, säger Moreno Tablado och ger en länk till sin blogg där han publicerade detaljerad information om sårbarheten.

"Jag antar att alla kommande Windows Mobile 6.5-enheter kommer att vara sårbara också om HTC inte fixar föraren, sade han.