Ważne: Luka w Windows Mobile pozwala na dostęp do dowolnych plików
Luka typu Directory Traversal w usłudze Bluetooth OBEX FTP dla Windows Mobile 6 umożliwia napastnikowi dostęp do plików poza dozwolonymi katalogami.
29.01.2009 12:18
Problem
Według informacji odkrywcy usterki do przeprowadzenia ataku wystarczy umieścić w ścieżce jedną lub kilka sekwencji znaków umożliwiających przejście do nadrzędnego katalogu: ../ lub ..\. W ten sposób napastnik może umieścić w telefonie własne pliki lub wyszpiegować prywatne dane użytkownika.
Warunkiem koniecznym do przeprowadzenia ataku jest połączenie komputera lub przenośnego sprzętu z urządzeniem ingerującym w zawartość, co zwykle jest możliwe jedynie za zgodą użytkownika. Zdarzają się jednak sytuacje, w których użytkownik pozwala na dostęp do określonych plików, nie spodziewając się, że w ten sposób udostępnia również inne, prywatne zbiory.
Odkrywca tej luki Alberto Moreno Tablado na swojej stronie WWW opublikował wyczerpujące instrukcje.
Rozwiązanie
Nie istnieje jeszcze rozwiązanie problemu.
Obejście
Ochronę przed tego typu atakami zapewnia jedynie pozwalanie na łączenie swojego urządzenia wyłącznie z zaufanymi systemami.
wydanie internetowe www.heise-online.pl