Bluetooth-Sicherheitslücke in HTC-Smartphones entdeckt

Betroffen sind nur Geräte mit Windows Mobile 6.0 und 6.1. Es besteht ein Fehler in einer Programmbibliothek des OBEX-FTP-Diensts. HTC ist die Schwachstelle seit Februar bekannt.

Eine Bluetooth-Schwachstelle ermöglicht es Angreifern, Schadcode auf HTC-Handys mit Windows Mobile 6 einzuschleusen (Bild: Seguridadmobile.com).
Eine Bluetooth-Schwachstelle ermöglicht es Angreifern, Schadcode auf HTC-Handys mit Windows Mobile 6 einzuschleusen (Bild: Seguridadmobile.com).


Der Sicherheitsforscher Alberto Moreno Tablado hat eine Directory-Traversal-Sicherheitslücke im Bluetooth-OBEX-FTP-Dienst einiger Smartphones von HTC entdeckt. Betroffen sind Geräte mit Windows Mobile 6.0 und 6.1 wie das Touch Diamond, das Touch Pro oder das Touch Cruise. Mobiltelefone mit Windows Mobile 5.0 oder Modelle anderer Hersteller sind nicht anfällig für die Zero-Day-Lücke.

Der Fehler besteht in der Programmbibliothek „obexfile.dll“, die laut Microsoft von HTC entwickelt wurde. Ein Angreifer kann nach dem Aufbau einer Bluetooth-Verbindung mit aktiviertem Filesharing-Protokoll den für den Dateiaustausch per Bluetooth vorgegebenen Ordner verlassen. Über Tools wie ObexFTP oder eine Linux-Konsole sei es zudem möglich, beliebige Verzeichnisse zu durchsuchen, Dateien ohne Zustimmung eines Nutzers von einem HTC-Smartphone herunterzuladen oder Schadprogramme zu installieren, so Moreno Tablado.

Einem Blogeintrag auf seiner Website Seguridadmobile.com zufolge hat Tablado Microsoft Mitte Januar und HTC Europa im Februar über seine Entdeckung informiert. Er habe bis Ende Juni nur Empfangsbestätigungen vom europäischen Support von HTC erhalten und keine Informationen über einen möglichen Patch.

„Als Nutzer von HTC-Produkten bin ich über die ernsten Sicherheitslücken besorgt“, schreibt Tablado. Er habe vergeblich versucht, mit HTC zusammenzuarbeiten und sei nun dazu gezwungen, mit Details über die Schwachstelle an die Öffentlichkeit zu gehen. Betroffenen Nutzern rät er, Bluetooth-Verbindungen von unbekannten Quellen abzulehnen und veraltete Einträge aus der Liste der gekoppelten Geräte zu entfernen.

HIGHLIGHT

ZDNet.de für mobile Geräte: m.zdnet.de

ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.

Themenseiten: Bluetooth, HTC, Handy, Microsoft, Mobil, Mobile, Windows Mobile

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Bluetooth-Sicherheitslücke in HTC-Smartphones entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *