Abo
  • Services:
Anzeige
In der Software des Surfsticks Huawei E303 ist eine Sicherheitslücke.
In der Software des Surfsticks Huawei E303 ist eine Sicherheitslücke. (Bild: Huawei)

Huawei: SMS verschicken auf fremde Kosten

Eine Sicherheitslücke in einem weit verbreiteten USB-UMTS-Stick ermöglicht es Angreifern, mit einer manipulierten Webseite SMS zu verschicken. Ein Update gibt es bisher nicht.

Anzeige

Der Huawei E303 ist zurzeit einer der meistverkauften UMTS-Sticks für USB-Anschlüsse. Doch der E303 hat offenbar eine schwerwiegende Sicherheitslücke: Über eine sogenannte Cross-Site-Request-Forgery-Attacke (CSRF) kann ein Angreifer SMS verschicken, wenn das Opfer auf eine speziell präparierte Webseite surft.

Entdeckt hat das Problem der Sicherheitsexperte Benjamin Daniel Mussler. Mussler hatte nach eigenen Angaben Huawei bereits im Dezember 2013 auf dieses Problem hingewiesen. Zunächst erfolgte keine Reaktion. Nachdem Mussler eine Veröffentlichung der Sicherheitslücke für den 30. Mai angekündigt hatte, meldete sich Huawei wenige Tage vorher bei ihm. Behoben ist das Problem bisher noch nicht. Die Sicherheitslücke hat die ID CVE-2014-2946 erhalten.

Noch kein Update

Der E303 besitzt ein Webinterface, über welches SMS verschickt werden können. Offenbar gibt es dabei keinerlei Schutzfunktionen. Die Kosten, die für die versendeten SMS entstehen, trägt logischerweise das Opfer. Mit Hilfe des XmlHttpRequest-Protokolls können SMS auch von Dritten verschickt werden, wenn ein Anwender eine entsprechend präparierte Webseite aufruft. Damit unterscheidet sich diese Sicherheitslücke von üblichen CSRF-Sicherheitslücken, die in der Regel über GET- oder POST-Variablen ausgelöst werden. Doch auch XmlHttpRequest-Zugriffe können von Dritten über bösartige Webseiten ausgeführt werden.

Der E303-Stick bietet die Möglichkeit, über das Webinterface Firmwareupdates zu installieren. Doch zurzeit findet man auf der Huawei-Webseite kein Update für das betroffene Gerät.

Nutzer des entsprechenden Sticks können sich möglicherweise temporär mit Browserplugins oder der Sperrung des Webinterfaces helfen. Mussler hat auf seiner Webseite eine Anleitung, wie in Opera und im Internet Explorer die entsprechenden Seiten gesperrt oder der Zugriff darauf beschränkt werden können. Wenn der Zugriff auf die Pseudo-Adresse http://hi.link und auf die IP des Geräts (üblicherweise 192.168.1.1) im Browser unterbunden wird, stoppt das den Angriff. In Firefox kann man mit Hilfe der Noscript-Erweiterung den Angriff verhindern, wenn man die Funktion "Application Boundaries Enforcer" aktiviert hat. Für den Chrome-Browser gibt es offenbar keine einfache Möglichkeit, diesen Angriff zu verhindern.


eye home zur Startseite
Yes!Yes!Yes! 03. Jun 2014

Der Browser ist nicht dazu da, Fehler irgendwelcher Routerhersteller zu lösen.

Yes!Yes!Yes! 03. Jun 2014

wenn du mal mitten in der Pampa stehst und kaum GSM-Netz vorhanden ist. ...

cars10 02. Jun 2014

Was macht eine Website anders damit sie speziell präpariert und nicht nur präpariert...



Anzeige

Stellenmarkt
  1. FRITZ & MACZIOL Software und Computervertrieb GmbH, Hannover
  2. T-Systems International GmbH, Leinfelden-Echterdingen
  3. Willy Bogner GmbH & Co. KGaA, München
  4. imbus AG, Hofheim, Köln, Möhrendorf, München, Norderstedt


Anzeige
Spiele-Angebote
  1. 134,99€
  2. 59,99€ (Vorbesteller-Preisgarantie) - Release 02.08.
  3. 399,00€ (Vorbesteller-Preisgarantie) - Release 02.08.

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von Bitdefender
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Objektiv

    Lichtstarkes Nikon 105 mm 1,4E ED für Porträts

  2. Adobe muss nachbessern

    Photoshop druckt falsche Farben

  3. Urban eTruck

    Mercedes stellt elektrischen Lkw mit 200 km Reichweite vor

  4. Keysniffer

    Millionen kabellose Tastaturen senden Daten im Klartext

  5. Here WeGo

    Here Maps kommt mit neuem Namen und neuen Funktionen

  6. Mesuit

    Chinesischer Hersteller bietet Android-Hülle für iPhones an

  7. Pokémon Go

    Pikachu versus Bundeswehr

  8. Smartphones

    Erste Chips mit 10-nm-Technik sind bei den Herstellern

  9. Nintendo

    Wii U findet kaum noch Käufer

  10. BKA-Statistik

    Darknet und Dunkelfelder helfen Cyberkriminellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

  1. Zu langsam, Golem? Patch bereits vor zwei Tagen...

    silentcreek | 08:34

  2. Re: 10nm was genau?

    curious_sam | 08:33

  3. Re: Ich sag nur zwei Dinge

    sebastian4699 | 08:33

  4. Re: nur 100m? Auf die Entfernung kann man auch...

    Poison Nuke | 08:33

  5. Re: (große)LKWs in Städten

    picaschaf | 08:33


  1. 07:41

  2. 07:28

  3. 07:17

  4. 19:16

  5. 17:37

  6. 16:32

  7. 16:13

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel