HTC phát hành bản vá cho lỗ hổng Bluetooth của Smartphone

Quản Trị Mạng - Hôm qua, HTC mới tung ra bản cập nhật khắc phục lỗ hổng Bluetooth được một nhà nghiên cứu bảo mật người Tây Ban Nha phát hiện hôm đầu tuần.

Alberto Moreno Tablado, nhà nghiên cứu phát hiện lỗi trong dịch vụ OBEX FTP và lần đầu tiên thông báo về lỗ hổng này vào đầu năm nay, cho biết lỗ hổng này, được tìm thấy trong obexfile.dll - một trình điều khiển Bluetooth của HTC, có thể cho phép tin tặc truy cập vào tất cả các file trong máy thông qua kết nối Bluetooth.

Tấn công qua thư mục OBEX FTP chỉ thực hiện được khi điện thoại của người dùng bật kết nối Bluetooth và chế độ chia sẻ file qua Bluetooth đang hoạt động. Lỗ hổng này cho phép tin tặc di chuyển từ folder được chia sẻ qua Bluetooth sang các folder khác. Vì vậy tin tặc có thể truy cập vào danh bạ, email, hình ảnh và các dữ liệu khác được lưu trữ trên điện thoại. Chúng cũng có thể tải các phần mềm và mã độc vào máy.

Lỗ hổng này ảnh hưởng tới hầu hết các máy cầm tay HTC sử dụng hệ điều hành Windows Mobile 6 và 6.1. Tuy nhiên dòng máy sử dụng hệ điều hành Windows Mobile 5 lại không bị ảnh hưởng bởi vì lỗ hổng này được tìm thấy trong một trình điều khiển của HTC, những dòng máy cầm tay của các công ty khác sẽ không bị ảnh hưởng.

Moreno Tablado đã cảnh báo lỗi này cho HTC nhưng công ty này đã không khắc phục, và cuối cùng ông đã quyết định đăng chi tiết về lỗ hổng này trên blog của ông để người dùng có thể tự bảo vệ. Ngày hôm sau, HTC đã cho ra bản vá hotfix nhằm tăng cường bảo mật Bluetooth cho dòng máy cầm tay Touch Pro, Touch Diamond và Touch HD

Moreno Tablado nói rằng bản sửa lỗi hotfix khắc phục lỗ hổng cho phép tấn công qua thư mục OBEX FTP.

Moreno Tablado cho biết mặc dù Touch HD cũng được liệt vào danh sách vá của hotfix, tuy nhiên dòng máy này lại không tích hợp dịch vụ OBEX FTP. Một kĩ sư phần mềm của Broadcom cho biết một dòng máy cầm tay khác của HTC không bị lỗ hổng này là Touch Pro 2 sử dụng Bluetooth Widcomm của Broadcom thay vì trình điều khiển của HTC – nguyên nhân gây ra lỗ hổng bảo mật.

Moreno nói rằng cũng không thể khẳng định 2 dòng máy mới nhất của HTC là Touch Diamond 2 và Snap có lỗ hổng này hay không.

Những dòng máy cầm tay sử dụng hệ điều hành Windows Mobile 6 và 6.1 khác của HTC có thể cũng có lỗ hổng này. Cho đến ngày hôm qua, bản vá hotfix cho các dòng máy khác sử dụng trình điều khiển gây lỗi này vẫn chưa xuất hiện trên website của HTC và HTC vẫn chưa đưa ra bình luận gì về việc này.

Trong khi thử nghiệm. Moreno Tablado xác nhận rằng lỗ hổng Bluetooth này xuất hiện trên 8 dòng máy cầm tay của HTC là P3600i, Touch Find, S710, P3650, Touch Diamond, Touch Pro, Touch Cruise và S740.

Những người dùng lo ngại về lỗ hổng này nên tắt Bluetooth hoặc không nên ghép đôi với máy điện thoại và máy tính không tin cậy.