HTC smartphone rimasti vulnerabili all'attacco Bluetooth

Se si dispone di uno smartphone HTC con Windows Mobile 6 o Windows Mobile 6.1, è possibile pensarci due volte prima di connettersi a un dispositivo non affidabile tramite Bluetooth. Una vulnerabilità in un driver HTC installato su questi telefoni può consentire a un utente malintenzionato di accedere a qualsiasi file sul telefono o caricare codice dannoso tramite Bluetooth, un ricercatore spagnolo di sicurezza ha avvertito martedì.

"I dispositivi HTC con Windows Mobile 6 e Windows Mobile 6.1 sono vulnerabilità di attraversamento di directory nel servizio FTP OBEX Bluetooth ", ha detto il ricercatore della sicurezza Alberto Moreno Tablado in uno scambio di e-mail.

I telefoni HTC con Windows Mobile 5 non sono interessati.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Affinché l'attacco funzioni, il dispositivo target deve avere abilitato Bluetooth e condivisione file tramite Bluetooth attivato.

"Questa connessione può essere eseguita tramite l'accoppiamento Bluetooth standard o sfruttando il Bluetooth MAC attacco spoofing ", ha detto Moreno Tablado, riferendosi a un processo in cui il dispositivo attaccante tenta di convincere il bersaglio che si tratta di un altro dispositivo sul suo elenco di dispositivi accoppiati.

La vulnerabilità di attraversamento della directory a consente a un utente malintenzionato di spostarsi dalla cartella condivisa Bluetooth di un telefono in altre cartelle, dando loro l'accesso a dettagli di contatto, e-mail, immagini o altri dati memorizzati sul telefono. Possono utilizzare questo accesso per leggere file o caricare software, incluso il codice dannoso.

Gli utenti preoccupati per la vulnerabilità dovrebbero evitare di accoppiare i loro telefoni con un portatile o un computer non affidabile. Potrebbero anche voler eliminare tutti i dispositivi che sono già associati ai loro telefoni, ha detto.

Poiché il driver, obexfile.dll, è un driver HTC, sono interessati solo i telefoni dell'azienda. Tuttavia, HTC è il più grande produttore al mondo di telefoni Windows Mobile, che commercializza telefoni con il proprio marchio e che fabbrica telefoni sotto contratto per altre società. Ciò significa che milioni di utenti sono potenzialmente vulnerabili.

Moreno Tablado ha testato la vulnerabilità su una gamma di telefoni HTC, tra cui Touch Diamond, Touch Pro, Touch Cruise, Touch Find, S710 e S740, tra gli altri. "Sembra che HTC includa questo driver, che è vulnerabile, in tutti i dispositivi che eseguono Windows Mobile 6 e Windows Mobile 6.1, come parte dello stack Bluetooth", ha affermato.

Moreno Tablado ha segnalato per primo la vulnerabilità a Microsoft in Gennaio, ritenendo che il problema fosse radicato nello stack Bluetooth utilizzato con Windows Mobile 6. All'epoca, Tablado non rivelava i dettagli tecnici della vulnerabilità, ritenendo che fosse un difetto critico che avrebbe messo a rischio gli utenti se fosse stato divulgato.

Microsoft ha risposto subito dopo che la vulnerabilità è stata segnalata a loro, dicendo che avevano determinato che il problema era causato dal driver HTC. Ma quando Moreno Tablado ha segnalato la vulnerabilità a HTC in febbraio, il produttore di cellulari "non ha mostrato alcun interesse", ha detto.

HTC e Microsoft non sono stati immediatamente raggiunti per un commento.

"Sono costretto ad andare pubblico con tutti l'informazione perché HTC non ha mostrato alcuna intenzione di rilasciare una correzione di sicurezza ", ha detto Moreno Tablado, fornendo un link al suo blog, dove ha pubblicato informazioni dettagliate sulla vulnerabilità.

" Suppongo che tutti i futuri dispositivi Windows Mobile 6.5 saranno vulnerabili anche se HTC non aggiusta il driver, "ha affermato.