HTC geeft hotfix voor Bluetooth uit Kwetsbaarheid bij smartphones

HTC heeft donderdag een software-update uitgegeven die een Bluetooth-kwetsbaarheid verhelpt die eerder deze week werd onthuld door een Spaanse beveiligingsonderzoeker.

Het beveiligingslek dat voorkomt in een HTC Bluetooth-stuurprogramma obexfile.dll, kan een aanvaller toegang geven tot alle bestanden op een telefoon door er verbinding mee te maken via Bluetooth, volgens Alberto Moreno Tablado, de onderzoeker die de bug in de OBEX FTP-service ontdekte en deze eerder dit jaar voor het eerst meldde.

De OBEX FTP-directory traversal attack vereist dat de telefoon van een slachtoffer Bluetooth heeft geschakeld aan en het delen van Bluetooth-bestanden is geactiveerd. Door het beveiligingslek kan een aanvaller overschakelen van de Bluetooth-gedeelde map van de telefoon naar andere mappen. Dit geeft de aanvaller toegang tot contactgegevens, e-mails, foto's of andere gegevens die op de telefoon zijn opgeslagen. Ze kunnen ook software naar de telefoon uploaden, inclusief schadelijke code.

[Verdere lectuur: de beste NAS-boxen voor mediastreaming en back-up]

Het beveiligingslek treft bijna alle HTC-handsets met Windows Mobile 6 of Windows Mobile 6.1. HTC-handsets met Windows Mobile 5 worden niet beïnvloed. Omdat de fout in een HTC-stuurprogramma wordt aangetroffen, ondervinden handsets van andere bedrijven geen problemen.

Moreno Tablado heeft HTC op de hoogte gesteld van de fout in februari, maar het bedrijf heeft dit niet opgelost en uiteindelijk heeft hij besloten informatie over de kwetsbaarheid op zijn blog om gebruikers een kans te geven zichzelf te beschermen. De volgende dag heeft HTC een hotfix beschikbaar gemaakt voor de Touch Pro-, Touch Diamond- en Touch HD-handsets die de Bluetooth-beveiliging verhogen.

De hotfix lost het beveiligingslek op dat zorgt voor de doorvoer van de directory, aldus Moreno Tablado.

de Touch HD wordt genoemd onder de HTC-handsets waarvoor de hotfix is ​​ontworpen, Moreno Tablado zei dat de handset de OBEX FTP-service niet bevat. Een andere HTC-telefoon die niet wordt beïnvloed, is de Touch Pro 2, die de Broadcomm Bluetooth-stack van Broadcom gebruikt en geen gebruik maakt van het HTC-stuurprogramma dat de beveiligingslek veroorzaakt, zei een softwareman van Broadcom.

Het was niet meteen duidelijk of de Touch Diamond 2 en Snap handsets, die tot de nieuwste HTC-modellen behoren, worden beïnvloed door het beveiligingslek, zei Moreno Tablado.

Andere HTC-handsets met Windows Mobile 6 en Windows Mobile 6.1 kunnen nog steeds worden beïnvloed. Op het moment van schrijven toonde een zoekopdracht op HTC's website aan dat het bedrijf nog geen hotfixes had gepost voor andere modellen die het betreffende stuurprogramma gebruiken. HTC kon niet onmiddellijk worden bereikt voor commentaar.
In tests bevestigde Moreno Tablado dat de kwetsbaarheid van Bluetooth betrekking heeft op acht modellen van de HTC-handset: de P3600i, Touch Find, S710, P3650, Touch Diamond, Touch Pro, Touch Cruise en de S740.

Gebruikers die zich zorgen maken over het beveiligingslek, moeten Bluetooth uitschakelen of vermijden dat hun telefoons worden gekoppeld aan een niet-vertrouwde handset of computer. Gebruikers kunnen ook alle apparaten verwijderen die al aan hun telefoon zijn gekoppeld.