Smartphones da HTC estão vulneráveis a ataques via Bluetooth [atualizado]
Um pesquisador espanhol da área de segurança descobriu uma vulnerabilidade em dispositivos HTC rodando Windows Mobile 6.o ou Windows Mobile 6.1 que dá acesso total e irrestrito a arquivos armazenados dentro da memória flash dos smartphones através do Bluetooth, além de permitir o envio de arquivos maliciosos para dentro dos aparelhos.
A falha está no serviço OBEX FTP dentro do driver obexfile.dll para Bluetooth usado pelo Windows Mobile. Esse driver, no entanto, é de criação da própria HTC e não da Microsoft. O ataque pode ser feito tanto através de emparelhamento seguro ou por spoofing, em que o dispositivo atacante forja o endereço físico (MAC address) de outro dispositivo que já está pareado com o HTC que se pretende atacar. Uma vez pareado, as ações da pessoa que estiver atacando serão invisíveis ao usuário.
Alberto Moreno, o pesquisador que descobriu a vulnerabilidade, reportou-a à HTC em fevereiro, mas a empresa não tomou nenhuma providência e por isso ele decidiu tornar público suas descobertas. Dentre os dispositivos que ele testou e que estão vulneráveis, estão o HTC Touch Diamond e o HTC Touch Cruise, ambos vendidos no Brasil.
Smartphones HTC rodando versões anteriores à Windows Mobile 6.0 não sofrem tal vulnerabilidade. E acredito que essa é uma das poucas vezes em que não atualizar o sistema operacional pode ter suas vantagens. [PCWorld]
Update: Um dia depois da vulnerabilidade ser tornada pública, a fabricante de celulares liberou um hotfix que corrige o problema.
