| Noticias | 15 JUL 2009

Detectan una vulnerabilidad grave en terminales HTC

Tags: Histórico
Un investigador español ha detectado una vulnerabilidad en varios terminales HTC que permitiría a un atacante acceder, a través de Bluetooth, a cualquier fichero del terminal de forma remota, así como instalar código malicioso.
Daniel Comino

Una nueva vulnerabilidad ha sido descubierta por el investigador español Aberto Moreno Tablado, según a cuál, los terminales HTC equipados con las versiones 6.0 y 6.1 de Windows Mobile estaría expuestos a un nuevo ataque mediante las comunicaciones por el protocolo Bluetooth. Un atacante que pudiera aprovechar este agujero tendría la posibilidad de acceder a cualquier información del terminal de forma inalámbrica (dentro del alcance que permita la señal Bluetooth), así como subir código malicioso al dispositivo atacado, con el fin de obtener todo tipo de contraseñas, correos electrónicos o información, en cualquier momento.

Concretamente se trata de una vulnerabilidad en el servicio FTP OBEX (encargado de transferir documentos mediante Bluetooth), mediante la cual sería posible intercambiar todo tipo de datos sin restricciones. HTC se perfila como el principal responsable de esta vulnerabilidad, ya que las comunicaciones mediante Bluetooth se establecen mediante el controlador obexfile.dll, instalado en los sistemas HTC afectados y desarrollado por el fabricante taiwanés. Por el momento se desconoce si HTC piensa mantener este controlador en los próximos dispositivos equipados con Windows Mobile 6.5, ya que, de acuerdo con Moreno Tablado, "HTC no mostró interés alguno cuando le informé de la situación el pasado mes de febrero, lo que me forzóa publicar los detalles de la vulnerabilidad".

Lógicamente, para poder aprovechar esta vulnerabilidad es necesario que la víctima tenga activado el protocolo Bluetooth, así como el servicio de intercambio de ficheros. Para evitarlo se recomienda que los usuarios de HTC con las versiones citadas de Windows Mobile se abstengan de aceptar conexiones de dispositivos no conocidos, así como eliminar de la lista de confianza los dispositivos que ya pueda contener el teléfono.

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios