华为LTEU盘存在严重安全漏洞

安全研究人员在华为的一款LTE USB 加密狗中发现了一个代码执行漏洞。作为华为移动宽带加密狗系列的一部分，华为 LTE USB Stick E3372 可以插入计算机，使用户能够使用 LTE 网络浏览互联网。

然而，网络安全公司 Trustwave 现在发现了一个相当容易利用的设备漏洞。在一篇博客文章中，Trustwave 的安全研究经理 Martin Rakhmanov 解释了该漏洞的存在，因为其中一个安装的文件缺少适当的访问控制设置。

我们正在研究我们的读者如何使用 VPN 来获取即将发布的深度报告。我们很乐意在下面的调查中听到您的想法。您的时间不会超过 60 秒。

“恶意用户需要做的就是用他们自己想要的代码替换文件，然后等待合法用户开始通过华为设备使用蜂窝数据服务，”拉赫曼诺夫写道。

根据 Trustwave 的说法，当用户插入加密狗时，这个受影响的文件会自动执行。它旨在启动默认的 Web 浏览器并将其指向加密狗的设备管理界面。

但是，华为没有对该文件设置适当的权限。这使计算机上的任何经过身份验证的用户都可以覆盖该文件。

Rakhmanov 解释说，恶意用户所需要做的就是用他们自己的恶意代码替换文件的内容。现在，当用户插入加密狗时，它会自动执行恶意代码。

Trustwave 告诉The Register，过去几个月它一直试图让华为注意这个问题，但没有取得任何进展。事实证明，他们一直将问题报告给错误的地址。

无论如何，一旦通过适当的渠道得到通知，华为很快发布了补丁来修复文件的权限。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！