如果您有运行Windows Mobile 6或Windows Mobile 6.1的HTC智能手机,在使用蓝牙连接到不可信设备之前,您可能需要考虑三次。西班牙安全研究人员周二警告说,安装在这些手机上的HTC驱动程序中的漏洞可能允许攻击者使用蓝牙访问手机中的任何文件或上传恶意代码。
运行Windows Mobile 6和Windows Mobile 6.1的HTC设备是在蓝牙OBEX FTP服务中容易出现目录遍历漏洞,“安全研究人员Alberto Moreno Tablado在一封电子邮件中表示。”
运行Windows Mobile 5的HTC手机不受影响
[更多阅读:如何删除来自Windows PC的恶意软件]要使攻击发挥作用,目标设备必须启用蓝牙并通过蓝牙激活文件共享。
“此连接可以通过标准蓝牙配对或利用蓝牙MAC欺骗攻击“,Moreno Tablado说,指的是攻击设备试图说服目标说它是配对设备列表上的另一个设备的过程。
目录遍历漏洞a让攻击者从手机的蓝牙共享文件夹移动到其他文件夹,让他们访问存储在手机上的联系方式,电子邮件,图片或其他数据。他们可以使用此访问来读取文件或上传软件,包括恶意代码。
担心此漏洞的用户应避免将其手机与不可信的手机或计算机配对。他说,他们可能还想删除任何已经与手机配对的设备。
因为驱动程序obexfile.dll是HTC的驱动程序,所以只有该公司的手机受到影响。不过,HTC是全球最大的Windows Mobile手机制造商,以自有品牌销售手机,并为其他公司制造手机。这意味着数百万用户可能受到攻击。
Moreno Tablado测试了一系列HTC手机的漏洞,其中包括Touch Diamond,Touch Pro,Touch Cruise,Touch Find,S710和S740等等。 “看起来HTC在所有运行Windows Mobile 6和Windows Mobile 6.1的设备中都包含这个驱动程序,这是蓝牙堆栈的一部分,”他表示。“Moreno Tablado首先报告了微软的漏洞。 1月份,他认为问题源自于Windows Mobile 6所使用的蓝牙协议栈。当时,Tablado没有透露该漏洞的技术细节,认为这是一个严重缺陷,如果披露该漏洞会给用户带来风险。
微软在向他们报告漏洞后不久回应说,他们已经确定这个问题是由HTC驱动程序造成的。但是,当莫雷诺·塔布拉多在2月份报道了HTC的脆弱性时,他表示,该手机制造商“没有表现出兴趣”,他表示,“宏达电和微软无法立即联系评论。”
我强迫所有人这些信息是因为HTC无意发布安全补丁,“Moreno Tablado说,他在博客中提供了一个链接,他发布了有关该漏洞的详细信息。”我想所有即将推出的Windows Mobile 6.5设备都将受到攻击如果HTC没有修理司机,也是如此,“他说。”