Veszélyesek a Huawei 3G/4G stickjei

|

Súlyos tervezési hibák találhatóak az eszközök szoftvereiben.

A Black Hat Europe 2013 biztonsági konferencia tegnapi zárónapján meglehetősen nagy hullámokat keltett Nikita Tarakanov előadása, a szakember ugyanis az utóbbi hetekben alaposan a körmére nézett a Huawei 3G/4G USB stickjeivel szállított szoftvereknek, és nem volt elragadtatva tőlük. A beszámoló alapján a driver, a konfigurációs szoftver, továbbá az automatikus frissítési mechanizmus egyaránt elégtelen minőségű, a legsúlyosabb problémát feltétlenül a legutolsó jelenti.


Tarakanov szerint a komponens negyedóránként egy Hollandiában lévő szervernél kilincsel frissítések után kutakodva, ám azon még mindig a Windows Server 2003 részeként szállított, ősrégi Internet Information Services 6.0 kiszolgáló fut. A támadó erre a szerverre betörve pár óra alatt Huawei modemekkel az internetre kapcsolt számítógépek millióit lenne képes megfertőzni.


Szintén a frissítési mechanizmus egy hibáját kihasználva a támadók jogosultságkiterjesztést érhetnek el, ám nem tudni, hogy ezt távolról ki lehet-e valamiképp használni. Az előadásba az utolsó pillanatban bekerült még Stefan Esser biztonsági kutató azon észrevétele is, miszerint Mac OS X alatt a frissítő teljes hozzáféréssel rendelkezik /usr/local rendszerkönyvtárhoz, amely lehetőséget ad kártékony szoftverek ezen mappába való beinjektálására.


A kutató előadásának megtartása előtt nem értesítette a Huawei-t a felfedezett problémákról, ám a cég alkalmazottjai állítólag az első sorban ülve jegyzeteltek, fotózták a diákat.

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra » Advertisement

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.