HTC: Sicherheits-Update schließt Bluetooth-Schwachstelle

Smartphones aus den Hause HTC, wie etwa das Touch Diamond oder das Touch Pro, enthalten eine Sicherheitslücke im OBEX FTP Dienst. Der ist Teil des Bluetooth-Stacks der unter Windows Mobile 6.x laufenden HTC Smartphones. Die Schwachstelle war HTC bereits seit Februar bekannt, jedoch erst in der letzten Woche veröffentlicht worden. Der Hersteller hat nun ein Update bereit gestellt, das die Lücke schließen soll.

Die Schwachstelle betrifft den OBEX FTP Server in der Datei "\windows\obexfile.dll". Gelingt es einem Angreifer sein Gerät, etwa ein Linux-Notebook, über Bluetooth mit einem anfälligen HTC Smartphone zu verbinden, kann er nicht nur auf dessen freigegebenen Ordner zugreifen. Vielmehr erlaubt die Sicherheitslücke den Wechsel in beliebige Verzeichnisse. So kann der Angreifer zum Beispiel Kontaktdaten auslesen oder Malware einschleusen.

Der Entdecker der Schwachstelle, Alberto Moreno aus Spanien, hatte seine Erkenntnisse bereits im Februar an HTC gemeldet. Da er seitdem keine Reaktion seitens HTC erhalten hatte, entschloss er sich in der letzten Woche die Sicherheitslücke zu veröffentlichen, wenn auch nicht mit allen Details. Wenige Tage darauf ist HTC in der Lage einen "Hotfix" zum Download bereit zu stellen.

Der Hotfix besteht aus einer 313 KB großen EXE-Datei, die auf das Smartphone kopiert und ausgeführt werden soll. HTC weist darauf hin, dass dieses Update nach der Durchführung eines "Hard Reset", also dem Zurücksetzen auf den Auslieferungszustand, erneut installiert werden muss. (PC-Welt/mja)