移动设备的问题:调制解调器暴露了控制面板

一名研究人员表示，在另一种情况下，移动设备固有的安全性不足，3G和4G USB调制解调器的漏洞最终可能被利用来窃取登录凭证或发送高价短信。

研究人员安德里亚斯·林德说，通过内置网络服务器管理的设备容易受到跨站请求伪造(CSRF)攻击。这意味着受害者访问的恶意网站最终可以访问USB调制解调器的控制面板网页，并篡改设备。

因此，一个易受攻击的设备最终可以通过移动网络向一个收费号码发送SMS消息。类似地，恶意网页可以伪装成合法的登录页面，并秘密地发送受害者的用户名和密码。

林德说，他能够在隐藏在TinyURL链接后面的数据URI中包含一个伪造的Facebook登录页面，这个数据URI最终可能通过电子邮件或社交网络发送给受害者:打开数据URI会在浏览器中呈现虚假的Facebook页面，当用户提交他或她的用户名和密码时，一些JavaScript会通过连接的易受攻击的USB调制解调器发送凭据。

每个受影响设备的web界面通常最终通过192.168.x访问。X或10.x.x。可以配置漫游，也可以设置SIM PIN。但其中一个宣传较少的功能是，一旦用户成功将设备连接到电话网络，它就可以无声地发送和接收短信。

林德说:“我很快就发现了一个CSRF漏洞，它允许我让调制解调器向我选择的任何数字发送短信，只需让用户访问我控制下的网站。”“与Wi-Fi路由器不同，USB调制解调器没有登录功能，所以我不必担心会绕过认证。”

病毒公告的反垃圾邮件测试主管Martijn Grooten表示，林德发现的漏洞非常适合进行鱼叉式网络钓鱼攻击。

在牛津大学(University of Oxford)教授移动系统安全的罗杰斯(David Rogers)说，这些问题都源于在设计廉价的消费者通信设备时缺乏对安全性的考虑，尤其是缺乏测试。他说，3G/4G调制解调器的问题是由于缺乏身份验证，固件更新加上一套新的消费者指令可以解决这个问题。

——Greg HaleISSSource.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。