信息來源:cnBeta
據(jù)外媒CNET報道,安全研究人員發(fā)現(xiàn)了一系列影響中興通訊4G熱點(diǎn)的漏洞��,該公司還沒有為所有受影響的設(shè)備提供修復(fù)���。研究人員表示���,安全漏洞可能讓潛在的黑客將流量從熱點(diǎn)重定向到其他惡意網(wǎng)站。
周六安全研究人員在拉斯維加斯舉行的黑客大會Defcon上披露了這些漏洞��。一位名為“Dave Null”的Pen Test Partners研究人員詳細(xì)描述了中興通訊的安全問題�,以及他對該公司如何回應(yīng)的擔(dān)憂。
Null表示��,漏洞很容易實(shí)現(xiàn) – 攻擊者只需要受害者使用中興通訊的一個熱點(diǎn)訪問惡意網(wǎng)站��。研究人員發(fā)現(xiàn)�,熱點(diǎn)模型會泄露設(shè)備的密碼。 “所以你要求一把鑰匙���,它會返回價值�,”Null在Defcon之前的一次采訪中說道?�!八鼛缀鯖]有安全保障���?!?
一旦攻擊者獲得了熱點(diǎn)的密碼�,就有很多選擇可以進(jìn)一步攻擊。黑客可以開始記錄一個人的網(wǎng)絡(luò)活動��,使用熱點(diǎn)作為攻擊與其連接的設(shè)備的方式�,并將網(wǎng)絡(luò)流量重定向到更多惡意網(wǎng)站。
例如���,黑客可以將受害者從合法的銀行網(wǎng)站重定向到虛假版本的頁面���,在那里他們可以輸入財務(wù)信息而不知道他們的資料已被盜取。
中興通訊在2月份發(fā)布了針對漏洞的安全通告�,但僅針對其MF910和MF65 +產(chǎn)品。在其公告中�����,該公司沒有發(fā)布修復(fù)補(bǔ)丁,稱其在2017年9月停止了這兩個4G熱點(diǎn)�����,但確實(shí)修復(fù)了更新的MF920和MF65M2型號的漏洞�。 目前這些已停產(chǎn)的型號仍然在該公司的網(wǎng)站上列出�����。
Null說道��,這些漏洞可能適用于“MF”系列中更多的中興通訊產(chǎn)品��。他發(fā)現(xiàn)�����,由于它的許多設(shè)備共享相同的密碼���,除非它們被修復(fù)�����,否則它們會共享相同的漏洞���。雖然中興通訊認(rèn)為MF910已經(jīng)過時�����,但更新后的MF920型號存在同樣的問題���。Null詢問了哪些其他熱點(diǎn)會共享相同的密碼,但中興通訊拒絕提供這些信息�����。
“他們似乎并沒有主動尋找對付漏洞���,”Null說道�����。
