Windows Mobile-funktion används för att spionera på användare

Tillbaka i gamla dagar med PocketPC 2003 hade Windows Mobile "push"-e-post som drivs av SMS-meddelanden. Ett SMS skulle skickas av servern när ny e-post kommer, vilket aktiverar synkronisering av din smartphone tyst.

Det verkar som om den här koden fortfarande lurar i Windows Mobiles tarmar, och den här funktionen har nu tycks missbrukas av ett verktyg som heter HushSMS.

HushSMS skickar ett klass noll-meddelande (aka Flash-SMS) eller ett smygande PING-meddelande till en annan Windows Mobile-mobiltelefon.

Meddelandet kasseras på ägarens telefon och det finns inga spår. Avsändaren kommer att få tillbaka ett meddelande från operatören om att meddelandet har levererats, vilket bevisar att ditt meddelande har tagits emot, och därmed kan du veta att ägarens telefon är påslagen.

Även om informationen som tillhandahålls, att den mottagande telefonen är på, är mycket begränsad, kan man tänka sig många situationer där man inte skulle vilja bli övervakad på detta sätt. Att kalla det en sårbarhet är sannolikt överdrivet (till skillnad från senaste Nokia-bugg där ett specialtillverkat SMS skulle döda all mottagning av SMS-meddelanden tills telefonen var hårdåterställd) men det är en funktion som bör vara under kontroll av användare, och som de flesta nätverksfunktioner, inaktiverad som standard.

Läs mer om frågan på denna Computerworld-artikel här.