Sicherheitslücke im Huawei E303 entdeckt

Der UMTS-Stick E303 von Huawei ist aktuell einer der erfolgreichsten Surfsticks. Das belegen unter anderem Verkaufslisten von großen Online-Händlern wie Amazon. Doch dieser Stick beinhaltet eine Sicherheitslücke. Darauf weist der Sicherheitsexperte und Blogger Benjamin Daniel Mussler hin. Er hat bereits Ende 2013 die anfällige Programmierung entdeckt und an Huawei gesendet. Nachdem er eine Veröffentlichung der Sicherheitslücke ankündigte, stellte das Unternehmen zwar einen Patch in Aussicht, hat aber bisher noch keinen veröffentlicht.

Mussler weist darauf hin, dass es möglich ist, per Remote-Attacke, einer Cross-Site-Request-Forgery-Attacke (CSRF), über den Huawei-Surfstick SMS zu versenden. Dadurch können Angreifer den E303 ausnutzen, um SMS zu verschicken. Das geschieht beim Surfen, indem der Nutzer auf eine Webseite kommt, die für das Ausnutzen der Sicherheitslücke programmiert wurde. Ebenfalls ist es möglich, Angriffe über das XML-http-Request-Protokoll auszuführen.

Ungeschützte Schnittstelle für Firmwareupdates

Die Sicherheitslücke steht offenbar im Zusammenhang mit Updates für die Firmware des Surfsticks E303. Denn über das betroffene Webinterface des Sticks wird diese eingespielt. Allerdings fehlen Sicherheitseinstellungen, sodass eben diese Schnittstelle für den Versand von SMS ausgenutzt werden kann. Der Nutzer muss den Versand der SMS bezahlen. Dabei könnten besonders mögliche Roaming-Gebühren zu einer Belastung werden. Unabhängig davon könnte er zum unfreiwilligen Versender von Spam-SMS werden.

Browser anders einstellen, um Gefahren zu minimieren

Mussler hat auf seiner Webseite eine Anleitung veröffentlicht, mit der verschiedene Browser konfiguriert werden können. Wenn der Nutzer diesen folgt, reduziert sich die Gefahr eines Angriffs über die Sicherheitslücke des Huawei E3030 deutlich. Firefox-Nutzer haben es am einfachsten. Mit NoScript und ABE blocken sie den Angriff. Im Internet Explorer können die Standard-IP des Sticks und die Adresse http://hi.link in den Internetoptionen geblockt bzw. gesperrt werden. Das klappt auch bei Opera. Für Chrome und Safari sind bisher keine Schutzmaßnahmen bekannt.

Sollte seitens Huawei ein Patch veröffentlicht werden, finden Sie diesen unter huawei.com  Support

Author: Christoph

Share This Post On

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.