Der Sicherheitsforscher Alberto Moreno Tablado hat eine Directory-Traversal-Sicherheitslücke im Bluetooth-OBEX-FTP-Dienst einiger Smartphones von HTC entdeckt. Betroffen sind Geräte mit Windows Mobile 6.0 und 6.1 wie das Touch Diamond, das Touch Pro oder das Touch Cruise. Mobiltelefone mit Windows Mobile 5.0 oder Modelle anderer Hersteller sind nicht anfällig für die Zero-Day-Lücke.
Der Fehler besteht in der Programmbibliothek „obexfile.dll“, die laut Microsoft von HTC entwickelt wurde. Ein Angreifer kann nach dem Aufbau einer Bluetooth-Verbindung mit aktiviertem Filesharing-Protokoll den für den Dateiaustausch per Bluetooth vorgegebenen Ordner verlassen. Über Tools wie ObexFTP oder eine Linux-Konsole sei es zudem möglich, beliebige Verzeichnisse zu durchsuchen, Dateien ohne Zustimmung eines Nutzers von einem HTC-Smartphone herunterzuladen oder Schadprogramme zu installieren, so Moreno Tablado.
Einem Blogeintrag auf seiner Website Seguridadmobile.com zufolge hat Tablado Microsoft Mitte Januar und HTC Europa im Februar über seine Entdeckung informiert. Er habe bis Ende Juni nur Empfangsbestätigungen vom europäischen Support von HTC erhalten und keine Informationen über einen möglichen Patch.
„Als Nutzer von HTC-Produkten bin ich über die ernsten Sicherheitslücken besorgt“, schreibt Tablado. Er habe vergeblich versucht, mit HTC zusammenzuarbeiten und sei nun dazu gezwungen, mit Details über die Schwachstelle an die Öffentlichkeit zu gehen. Betroffenen Nutzern rät er, Bluetooth-Verbindungen von unbekannten Quellen abzulehnen und veraltete Einträge aus der Liste der gekoppelten Geräte zu entfernen.
ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.