"Telefony HTC s WM 6/6.1 kvůli chybě v použitých ovladačích bluetooth modulu skýtají při jeho využití za pomocí standardu OBEX FTP nebezpečí úniku citlivých dat stejně jako vniknutí malwaru na zařízení," varuje Alberto Moreno Tablado, španělský expert na danou problematiku. Aby měl útočník šanci něco podobného provést, musí být bluetooth modul zapnutý a zároveň je vyžadováno aktivní sdílení souborů. Starších modelů s Windows Mobile 5.0 se přitom problém netýká.
"K útoku může dojít při běžném spárování nebo s využitím záměny MAC adresy, kdy se útočící telefon v seznamu nalezených zařízení objeví jako již prověřený," pokračuje Tablado.
Chyba pak útočníkovi umožní přesunout sdílené složky na svůj telefon a získat tak potenciálně citlivá data. Může přitom jít o telefonní seznam, e-maily, dokumenty Office, případně zachycené momentky. Stejně tak může do telefonu nahrát škodlivý software.
Ovladač obexfile.dll, který tyto nepříjemnosti způsobuje, pochází přímo od HTC a telefony jiných výrobců tak tento "bug" neobsahují. Uvědomíme-li si, že čtyři pětiny všech dosud prodaných WM zařízení nesou značku HTC, pak předchozí věta mnoho klidu nepřidá.
Alberto Tablado tak otestoval několik HTC telefonů s Widows Mobile 6/6.1 (Touch Diamond, Touch Pro, S710, S740), které uvedenou bezpečnostní díru potvrdily. "Ukazuje se, že všechna zkoušená zařízení jsou při zapnutém BT a aktivním sdílení skutečně zranitelná".
Tablado na bezpečnostní chybu nejdříve upozornil Microsoft, a to již v lednu tohoto roku. Zakrátko přišla odpověď, v níž stálo, že za chybu mohou ovladače Bluetooth, které zařízení HTC využívají. Když ale Alberto poprvé kontaktoval HTC, setkal se s nezájmem. Nešlo přitom o první a poslední zaslaný e-mail na podporou HTC Europe – Alberto společnost kontaktoval opakovaně, bohužel ale vždy se stejným výsledkem.
Proto se Alberto rozhodl vše publikovat na svém blogu, na což už HTC zareagovalo. Stačilo trochu publicity a jakmile se stal problém známějším, začalo se pracovat na nápravě. V minulých dnech tak byla uvedena záplata, která bezpečnostní díru zacelí. Na oficiálních stránkách HTC je i popis instalace záplaty. Ta se samozřejmě nenahraje do FlashROM (jde jen o instalaci) a tak je nutné ji po případném hard resetu (nebo aktualizaci ROM) nainstalovat znovu.
