Abo
  • Services:

Huawei: SMS verschicken auf fremde Kosten

Eine Sicherheitslücke in einem weit verbreiteten USB-UMTS-Stick ermöglicht es Angreifern, mit einer manipulierten Webseite SMS zu verschicken. Ein Update gibt es bisher nicht.

Artikel veröffentlicht am , Hanno Böck
In der Software des Surfsticks Huawei E303 ist eine Sicherheitslücke.
In der Software des Surfsticks Huawei E303 ist eine Sicherheitslücke. (Bild: Huawei)

Der Huawei E303 ist zurzeit einer der meistverkauften UMTS-Sticks für USB-Anschlüsse. Doch der E303 hat offenbar eine schwerwiegende Sicherheitslücke: Über eine sogenannte Cross-Site-Request-Forgery-Attacke (CSRF) kann ein Angreifer SMS verschicken, wenn das Opfer auf eine speziell präparierte Webseite surft.

Stellenmarkt
  1. alanta health group GmbH, Hamburg-Jenfeld
  2. T-Systems Multimedia Solutions GmbH, Dresden

Entdeckt hat das Problem der Sicherheitsexperte Benjamin Daniel Mussler. Mussler hatte nach eigenen Angaben Huawei bereits im Dezember 2013 auf dieses Problem hingewiesen. Zunächst erfolgte keine Reaktion. Nachdem Mussler eine Veröffentlichung der Sicherheitslücke für den 30. Mai angekündigt hatte, meldete sich Huawei wenige Tage vorher bei ihm. Behoben ist das Problem bisher noch nicht. Die Sicherheitslücke hat die ID CVE-2014-2946 erhalten.

Noch kein Update

Der E303 besitzt ein Webinterface, über welches SMS verschickt werden können. Offenbar gibt es dabei keinerlei Schutzfunktionen. Die Kosten, die für die versendeten SMS entstehen, trägt logischerweise das Opfer. Mit Hilfe des XmlHttpRequest-Protokolls können SMS auch von Dritten verschickt werden, wenn ein Anwender eine entsprechend präparierte Webseite aufruft. Damit unterscheidet sich diese Sicherheitslücke von üblichen CSRF-Sicherheitslücken, die in der Regel über GET- oder POST-Variablen ausgelöst werden. Doch auch XmlHttpRequest-Zugriffe können von Dritten über bösartige Webseiten ausgeführt werden.

Der E303-Stick bietet die Möglichkeit, über das Webinterface Firmwareupdates zu installieren. Doch zurzeit findet man auf der Huawei-Webseite kein Update für das betroffene Gerät.

Nutzer des entsprechenden Sticks können sich möglicherweise temporär mit Browserplugins oder der Sperrung des Webinterfaces helfen. Mussler hat auf seiner Webseite eine Anleitung, wie in Opera und im Internet Explorer die entsprechenden Seiten gesperrt oder der Zugriff darauf beschränkt werden können. Wenn der Zugriff auf die Pseudo-Adresse http://hi.link und auf die IP des Geräts (üblicherweise 192.168.1.1) im Browser unterbunden wird, stoppt das den Angriff. In Firefox kann man mit Hilfe der Noscript-Erweiterung den Angriff verhindern, wenn man die Funktion "Application Boundaries Enforcer" aktiviert hat. Für den Chrome-Browser gibt es offenbar keine einfache Möglichkeit, diesen Angriff zu verhindern.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. 58,99€

Yes!Yes!Yes! 03. Jun 2014

Der Browser ist nicht dazu da, Fehler irgendwelcher Routerhersteller zu lösen.

Yes!Yes!Yes! 03. Jun 2014

wenn du mal mitten in der Pampa stehst und kaum GSM-Netz vorhanden ist. ...

cars10 02. Jun 2014

Was macht eine Website anders damit sie speziell präpariert und nicht nur präpariert...


Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

    •  /