HTC ONE series - Bringing the HTC music experience to your car
"HTC-laitteet, joissa on Windows Mobile 6 ja Windows Mobile 6.1 jotka ovat alttiita hakemistoketjun haavoittuvuudelle Bluetooth OBEX FTP -palvelussa ", sanoo tietoturva-tutkija Alberto Moreno Tablado sähköpostinvaihdossa.
HTC-puhelimia, joissa on Windows Mobile 5, ei ole vaikuttanut.
[Lue lisää: haittaohjelmat Windows-tietokoneelta]
Hyökkäyksen toimimiseen kohdennetulla laitteella on oltava Bluetooth-toiminto ja tiedostojen jako Bluetooth-toiminnon avulla."Tämä yhteys voidaan tehdä joko tavallisella Bluetooth-pariliitoksella tai Bluetooth MAC huijaus hyökkäys ", Moreno Tablado sanoi, viitaten prosessiin, jossa hyökkääjä yrittää vakuuttaa tavoite, että se on toinen laite parillisten laitteiden luettelossa.
Directory traversal -haavoittuvuus a hyökkääjä siirtyy puhelimen Bluetooth-jaettuun kansioon muihin kansioihin ja antaa heille pääsyn yhteystietoihin, sähköpostiviesteihin, kuviin tai muuhun puhelimeen tallennettuun dataan. He voivat käyttää tätä lupaa lukea tiedostoja tai ladata ohjelmistoja, mukaan lukien haittaohjelmia.
Käyttäjiä, jotka ovat huolissaan haavoittuvuudesta, tulisi välttää puhelimien yhdistäminen epäluotettavan luurin tai tietokoneen kanssa. He voivat myös haluta poistaa laitteita, jotka on jo yhdistetty puhelimiin, hän sanoi.
Koska ohjain, obexfile.dll on HTC-ohjain, vaikuttaa vain puhelimista yritykseltä. Kuitenkin HTC on maailman suurin Windows Mobile -puhelinten valmistaja, myy puhelimia omalla tuotemerkillään sekä tekevät puhelimista sopimuksia muille yrityksille. Tämä tarkoittaa, että miljoonat käyttäjät voivat olla haavoittuvia.
Moreno Tablado testasi haavoittuvuutta mm. HTC-puhelimissa, kuten Touch Diamond, Touch Pro, Touch Cruise, Touch Find, S710 ja S740. "Näyttää siltä, että HTC sisältää tämän kuljettajan, joka on haavoittuva kaikista Windows Mobile 6: n ja Windows Mobile 6.1: n laitteista, osana Bluetooth-pinoa."
Moreno Tablado ilmoitti ensin Microsoftin haavoittuvuudesta Tammikuussa, uskoen, että ongelma juurtui Windows Mobile 6: n Bluetooth-pinoon. Tuolloin Tablado ei paljastanut haavoittuvuuden teknisiä tietoja, uskoen, että se oli kriittinen virhe, joka vaarantaisi käyttäjien vaaran, jos se ilmestyy.
Microsoft vastasi pian sen jälkeen, kun haavoittuvuus oli ilmoitettu heille, sanomalla, että he olivat päättäneet, että ongelma aiheutui HTC-ohjaimesta. Mutta kun Moreno Tablado ilmoitti haavoittuvuudesta HTC: lle helmikuussa, matkapuhelinvalmistaja "ei osoittanut kiinnostusta", hän sanoi.
HTC: n ja Microsoftia ei voitu heti päästä kommentoimaan.
"Minun on pakko julkistaa kaikki tiedot koska HTC ei aio vapauttaa tietoturvakorjausta ", Moreno Tablado sanoi ja linkki blogiinsa, jossa hän kertoi tarkkoja tietoja haavoittuvuudesta.
" Oletan, että kaikki tulevat Windows Mobile 6.5 -laitteet ovat haavoittuvia myös jos HTC ei korjaa kuljettajaa, "hän sanoi.
EBay-huutokaupan haavoittuvassa verkkosivustossa
Troijalainen hevonen loukkaantuu Auctivan palvelimiin, eBay-huutokauppoihin, tartunnan saaneisiin tietokoneisiin
HTC lähettää korjauksia Bluetooth-haavoittuvuudelle älypuhelimissa
HTC julkaisi torstaina ohjelmistopäivityksen, joka korjaa aiemmin tällä viikolla ilmenneen Bluetooth-haavoittuvuuden. julkaisi torstaina ohjelmistopäivityksen, joka korjaa Espanjan tietoturva-tutkijan aiemmin tällä viikolla paljastetun Bluetooth-haavoittuvuuden.
Päivitetty Hollantilainen maksukortti, joka on yhä haavoittuvassa suhteessa
Hollantilaisiin maksukortteihin sovellettavat tietoturvaominaisuudet eivät pysäytä eräänlaista hyökkäystä, voisi käyttää tulevaisuudessa.