HTC Issues Hotfix for sikkerhetsproblem i Bluetooth i smarttelefoner

Sårbarheten, funnet i en HTC Bluetooth-driver, obexfile.dll, kan tillate en angriper å få tilgang til alle filene på en telefon ved å koble til den via Bluetooth, ifølge Alberto Moreno Tablado, forskeren som oppdaget feilen i OBEX FTP-tjenesten og først rapporterte det tidligere i år.

OBEX FTP-katalogets traversale angrep krever at et offers telefon har Bluetooth byttet on og Bluetooth fildeling er aktivert. Sikkerhetsproblemet lar en angriper flytte fra telefonens Bluetooth-delte mappe til andre mapper. Dette gir angriperen tilgang til kontaktdetaljer, e-post, bilder eller annen data som er lagret på telefonen. De kan også laste opp programvare til telefonen, inkludert skadelig kode.

[Videre lesing: Best NAS-bokser for media streaming og sikkerhetskopiering]

Sårbarheten påvirker nesten alle HTC-telefoner som kjører Windows Mobile 6 eller Windows Mobile 6.1. HTC-telefoner som kjører Windows Mobile 5, påvirkes ikke. Fordi feilen er funnet i en HTC-driver, blir telefoner fra andre selskaper ikke påvirket av problemet.

Moreno Tablado varslet HTC om feilen i februar, men selskapet gjorde det ikke, og han bestemte seg for å avsløre detaljer om sårbarheten på bloggen sin for å gi brukerne en sjanse til å beskytte seg selv. Neste dag, gjorde HTC tilgjengelig en hurtigreparasjon for Touch Pro, Touch Diamond og Touch HD-håndsettene som øker Bluetooth-sikkerheten.

Hurtigruten løser sårbarheten som forårsaker tillater at katalogoverskridelsen angriper, Moreno Tablado sa. Touch HD er oppført blant de HTC-telefonene som hurtigreparasjonen ble designet for, sier Moreno Tablado at håndsettet ikke inkluderer OBEX FTP-tjenesten. Et annet HTC-håndsett som ikke er berørt, er Touch Pro 2, som bruker Broadcoms Widcomm Bluetooth-stablett og bruker ikke HTC-driveren som forårsaker sikkerhetshullet, sa en Software Engineer fra Broadcom.

Det var ikke umiddelbart klart om Touch Diamond 2 og Snap-telefoner, som er blant de nyeste HTC-modellene, påvirkes av sikkerhetsproblemet, sa Moreno Tablado.

Andre HTC-telefoner som kjører Windows Mobile 6 og Windows Mobile 6.1, kan fortsatt bli påvirket. I skrivende stund viste et søk på HTCs nettsted at selskapet ikke hadde lagt inn hurtigreparasjoner for andre modeller som bruker den berørte driveren. HTC kunne ikke umiddelbart nås for kommentar.

Moreno Tablado bekreftet at Bluetooth-sårbarheten påvirker åtte HTC-håndsettmodeller: P3600i, Touch Find, S710, P3650, Touch Diamond, Touch Pro, Touch Cruise og S740.

Brukere som er bekymret for sikkerhetsproblemet, bør slå av Bluetooth eller unngå å koble sammen telefonene med et usikkert håndsett eller en datamaskin. Brukere kan også slette alle enheter som allerede er parret med telefonen sin.