Исправление ошибок HTC для уязвимости Bluetooth в смартфонах

HTC выпустила обновление программного обеспечения в четверг, которое устраняет уязвимость Bluetooth, раскрытую ранее на этой неделе испанским исследователем безопасности.

Уязвимость, обнаруженная в HTC Bluetooth-драйвере, obexfile.dll, может позволить злоумышленнику получить доступ ко всем файлам на телефон, подключившись к нему через Bluetooth, по словам Альберто Морено Табладо, исследователя, который обнаружил ошибку в службе OBEX FTP и впервые сообщил об этом в начале этого года.

Для обхода обхода каталога OBEX FTP требуется, чтобы телефон жертвы имел Bluetooth-коммутацию включен и совместное использование файлов Bluetooth. Уязвимость позволяет злоумышленнику перейти из общей папки Bluetooth Bluetooth в другие папки. Это дает злоумышленнику доступ к контактным данным, сообщениям электронной почты, изображениям или другим данным, хранящимся на телефоне. Они также могут загружать программное обеспечение на телефон, включая вредоносный код.

[Подробнее читайте: Лучшие NAS-боксы для потоковой передачи и резервного копирования мультимедиа]

Уязвимость затрагивает почти все телефоны HTC под управлением Windows Mobile 6 или Windows Mobile 6.1. На телефоны HTC, работающие под управлением Windows Mobile 5, не влияет. Поскольку ошибка обнаруживается в драйвере HTC, проблемы с телефоном не затрагивают телефоны других компаний.

Moreno Tablado уведомил HTC об ошибке в феврале, но компания этого не исправила, и в конечном итоге он решил раскрыть информацию о уязвимость в его блоге, чтобы дать пользователям возможность защитить себя. На следующий день компания HTC выпустила исправление для телефонов Touch Pro, Touch Diamond и Touch HD, которые повышают безопасность Bluetooth.

Исправление исправляет уязвимость, которая вызывает возможность атаки на обход каталога, сказал Морено Табладо.

Touch HD входит в число телефонов HTC, для которых было разработано исправление, Морено Табладо сказал, что в телефоне нет службы OBEX FTP. Другим телефонным аппаратом HTC, на который не повлиял Touch, является сенсорный Pro 2, который использует стек Bluetooth Widcomm от Broadcom и не использует драйвер HTC, который вызывает дыру в безопасности, сказал инженер-программист Broadcom.

Не сразу стало ясно, что Touch Diamond 2 и Snap, которые относятся к последним моделям HTC, подвержены уязвимости, сказал Морено Табладо.

Другие телефоны HTC, работающие под управлением Windows Mobile 6 и Windows Mobile 6.1, все еще могут быть затронуты. На момент написания статьи, поиск веб-сайта HTC показал, что компания еще не опубликовала исправления для других моделей, которые используют затронутый драйвер. HTC не может быть немедленно достигнута для комментариев.

В тестах Морено Табладо подтвердил, что уязвимость Bluetooth затрагивает восемь моделей телефонов HTC: P3600i, Touch Find, S710, P3650, Touch Diamond, Touch Pro, Touch Cruise и S740.

Пользователи, обеспокоенные уязвимостью, должны отключить Bluetooth или избежать сопряжения их телефонов с ненадежной телефонной трубкой или компьютером. Пользователи также могут удалить любые устройства, которые уже соединены с телефоном.