Teléfonos inteligentes HTC abandonados vulnerables al ataque por Bluetooth

un teléfono inteligente HTC con Windows Mobile 6 o Windows Mobile 6.1, es posible que desee pensar dos veces antes de conectarse a un dispositivo que no sea de confianza mediante Bluetooth. Una vulnerabilidad en un controlador HTC instalado en estos teléfonos puede permitir a un atacante acceder a cualquier archivo en el teléfono o cargar código malicioso usando Bluetooth, advirtió el martes un investigador de seguridad español.

"Los dispositivos HTC con Windows Mobile 6 y Windows Mobile 6.1 son propenso a una vulnerabilidad de cruce de directorio en el servicio FTP Bluetooth OBEX ", dijo el investigador de seguridad Alberto Moreno Tablado en un intercambio de correo electrónico.

Los teléfonos HTC con Windows Mobile 5 no se ven afectados.

[Lectura adicional: cómo eliminar malware de su PC con Windows]

Para que el ataque funcione, el dispositivo objetivo debe tener habilitado Bluetooth y compartir archivos a través de Bluetooth activado.

"Esta conexión se puede realizar mediante el emparejamiento Bluetooth estándar o aprovechando el MAC Bluetooth ataque spoofing ", dijo Moreno Tablado, refiriéndose a un proceso donde el dispositivo atacante intenta convencer al objetivo de que es otro dispositivo en su lista de dispositivos emparejados.

La vulnerabilidad de cruce de directorio a Permite a un atacante pasar de la carpeta compartida de Bluetooth del teléfono a otras carpetas, dándoles acceso a los detalles de contacto, correos electrónicos, imágenes u otros datos almacenados en el teléfono. Pueden usar este acceso para leer archivos o cargar software, incluido el código malicioso.

Los usuarios preocupados por la vulnerabilidad deben evitar emparejar sus teléfonos con un teléfono o computadora que no sea de confianza. También pueden querer eliminar cualquier dispositivo que ya esté emparejado con sus teléfonos, dijo.

Debido a que el controlador, obexfile.dll, es un controlador de HTC, solo los teléfonos de la compañía se ven afectados. Sin embargo, HTC es el mayor fabricante del mundo de dispositivos con Windows Mobile, que vende teléfonos con su propia marca y también hace que los teléfonos estén bajo contrato para otras compañías. Eso significa que millones de usuarios son potencialmente vulnerables.

Moreno Tablado probó la vulnerabilidad en una variedad de teléfonos HTC, incluyendo Touch Diamond, Touch Pro, Touch Cruise, Touch Find, S710 y S740, entre otros. "Parece que HTC incluye este controlador, que es vulnerable, en todos los dispositivos con Windows Mobile 6 y Windows Mobile 6.1, como parte de la pila Bluetooth", dijo.

Moreno Tablado informó por primera vez de la vulnerabilidad a Microsoft en Enero, creyendo que el problema estaba enraizado en la pila Bluetooth utilizada con Windows Mobile 6. En ese momento, Tablado no reveló detalles técnicos de la vulnerabilidad, creyendo que era un error crítico que pondría en riesgo a los usuarios si se revelara.

Microsoft respondió poco después de que se les informara la vulnerabilidad, diciendo que habían determinado que el problema había sido causado por el controlador de HTC. Pero cuando Moreno Tablado informó sobre la vulnerabilidad a HTC en febrero, el fabricante de teléfonos "no mostró interés", dijo.

HTC y Microsoft no pudieron ser contactados inmediatamente para hacer comentarios.

"Me veo obligado a hacer público todo la información porque HTC no mostró ninguna intención de lanzar una solución de seguridad ", dijo Moreno Tablado, al proporcionar un enlace a su blog, donde publicó información detallada sobre la vulnerabilidad.

" Supongo que todos los próximos dispositivos de Windows Mobile 6.5 serán vulnerables también si HTC no arregla el controlador ", dijo.