HTC corrige la vulnérabilité Bluetooth dans les smartphones

HTC a publié une mise à jour logicielle jeudi qui corrige une vulnérabilité Bluetooth dévoilée plus tôt cette semaine par un chercheur en sécurité espagnol.

La vulnérabilité, trouvée dans un pilote HTC Bluetooth, obexfile.dll, pourrait permettre à un attaquant d'accéder à tous les fichiers sur un ordinateur. Selon Alberto Moreno Tablado, le chercheur qui a découvert le bogue dans le service FTP OBEX et qui l'a signalé pour la première fois en début d'année.

L'attaque de traversée du répertoire FTP OBEX nécessite que le téléphone d'une victime ait activé Bluetooth. activé et le partage de fichiers Bluetooth est activé. Cette vulnérabilité permet à un attaquant de passer du dossier partagé Bluetooth du téléphone à d'autres dossiers. Cela permet à l'attaquant d'accéder aux coordonnées, e-mails, images ou autres données stockées sur le téléphone. Ils peuvent également télécharger un logiciel sur le téléphone, y compris un code malveillant.

[Plus d'informations: Meilleures boîtes NAS pour le streaming multimédia et la sauvegarde]

La vulnérabilité affecte presque tous les téléphones HTC fonctionnant sous Windows Mobile 6 ou Windows Mobile 6.1. Les combinés HTC fonctionnant sous Windows Mobile 5 ne sont pas affectés. Parce que la faille est trouvée chez un chauffeur de HTC, les téléphones d'autres compagnies ne sont pas affectés par le problème.

Moreno Tablado a informé HTC de la faille en février mais la compagnie ne l'a pas réparée, et il a finalement décidé de divulguer les détails. la vulnérabilité sur son blog pour donner aux utilisateurs une chance de se protéger. Le jour suivant, HTC a mis à disposition un correctif pour ses combinés Touch Pro, Touch Diamond et Touch HD qui augmente la sécurité Bluetooth.

Le correctif résout la vulnérabilité qui provoque l'attaque par traversée de répertoire, a déclaré Moreno Tablado. le Touch HD figure parmi les combinés HTC pour lesquels le correctif a été conçu, a indiqué Moreno Tablado, qui ne comprend pas le service FTP OBEX. Un autre téléphone HTC qui n'est pas affecté est le Touch Pro 2, qui utilise la pile Bluetooth Widcomm de Broadcom et n'utilise pas le pilote HTC qui cause le trou de sécurité, dit un ingénieur logiciel de Broadcom.

Selon Moreno Tablado, les combinés 2 et Snap, qui font partie des derniers modèles HTC, sont affectés par la vulnérabilité.

D'autres téléphones HTC fonctionnant sous Windows Mobile 6 et Windows Mobile 6.1 peuvent encore être affectés. Au moment de la rédaction, une recherche sur le site Web de HTC a montré que la société n'avait pas encore publié de correctifs pour les autres modèles utilisant le pilote concerné.

Dans les tests, Moreno Tablado a confirmé que la vulnérabilité Bluetooth affectait huit modèles de téléphones HTC: le P3600i, le Touch Find, le S710, le P3650, le Touch Diamond, le Touch Pro, le Touch Cruise et le S740.

Les utilisateurs qui s'inquiètent de cette vulnérabilité devraient désactiver Bluetooth ou éviter de coupler leurs téléphones avec un téléphone ou un ordinateur non approuvé. Les utilisateurs peuvent également vouloir supprimer tous les appareils déjà associés à leur téléphone.