Vulnerabilidad grave en móviles HTC con Windows Mobile

Una nueva vulnerabilidad ha sido descubierta por el investigador español Aberto Moreno Tablado, según la cuál, los terminales HTC equipados con las versiones 6.0 y 6.1 de Windows Mobile estarían expuestos a un ataque mediante las comunicaciones por el protocolo Bluetooth. Un atacante que pudiera aprovechar este agujero tendría la posibilidad de acceder a cualquier información del terminal de forma inalámbrica (dentro del alcance que permita la señal Bluetooth), así como subir código malicioso al dispositivo atacado, con el fin de obtener todo tipo de contraseñas, correos electrónicos o información, en cualquier momento.

Concretamente se trata de una vulnerabilidad en el servicio FTP OBEX (encargado de transferir documentos mediante Bluetooth), mediante la cual sería posible intercambiar todo tipo de datos sin restricciones. HTC se perfila como el principal responsable de esta vulnerabilidad, ya que las comunicaciones mediante Bluetooth se establecen mediante el controlador obexfile.dll, instalado en los sistemas HTC afectados y desarrollado por el fabricante taiwanés. Por el momento se desconoce si se mantendrá este controlador en los próximos móviles HTC equipados con Windows Mobile 6.5, ya que, de acuerdo con Moreno Tablado, "HTC no mostró interés alguno cuando le informé de la situación el pasado mes de febrero, lo que me forzó a publicar los detalles de la vulnerabilidad".

Lógicamente, para poder aprovechar esta vulnerabilidad es necesario que la víctima tenga activado el protocolo Bluetooth, así como el servicio de intercambio de ficheros. Para evitarlo se recomienda que los usuarios de HTC con las versiones citadas de Windows Mobile se abstengan de aceptar conexiones de dispositivos no conocidos, así como eliminar de la lista de confianza los dispositivos que ya pueda contener el teléfono.