Markus Lehtiniitty
17. heinäkuuta, 2009 14:25
Taiwanilainen HTC on paikannut aiemmin tällä viikolla julkisuuteen ponnahtaneen Bluetoothiin liittyneen tietoturva-aukon Windows Mobile -puhelimistaan.
Aukko koski Bluetoothin OBEX FTP -palvelua ja se tarjosi mahdolliselle hyökkääjälle keinon päästä käsiksi puhelimen sisältöön ja asentaa siihen haittaohjelmia. Ongelma johtui HTC:n puhelimiin ladatusta, kolmannen osapuolen obexfile.dll-ajurista, minkä vuoksi haavoittuvuus ei koske muita kuin HTC:n Windows Mobile -puhelimia. Haavoittuvuuden hyödyntäminen edellyttää, että Bluetooth-yhteyden ja tiedostonjaon olevan päällä. Haavoittuvuus esiintyi ainakin HTC:n puhelinmalleissa S710, S740, Touch Cruise, Touch Diamond, Touch Find, Touch HD ja Touch Pro.
Haavoittuvuuden toi julkisuuteen espanjalainen tietoturvatutkija Alberto Moreno Tablado. Alun perin Tablado kertoo ilmoittaneensa haavoittuvuudesta HTC:lle jo helmikuussa.
Aukon paikkaaminen onnistuu lataamalla pieni hotfix-päivitys ja asentamalla se puhelimeen. Tarkemmat ohjeet sekä latausmahdollisuus löytyvät täältä HTC:n sivuilta. Päivitys on sivujen mukaan saatavissa Touch Diamondille, Prolle ja HD:lle. HTC:n mukaan suurimmassa osasta puhelimia aukko on jo tukittu tuoreimmissa ohjelmistopäivityksissä.
Juttumme kuvassa esiintyvä puhelin on Touch Diamond, joka kuului haavoittuvuuden sisältäneiden puhelinmallien joukkoon.