Huawei Surfstick E303 mit verheerender Sicherheitslücke

Die im Surfstick E303 von Huawei entdeckte Sicherheitslücke erlaubt durch manipulierte Websites das Verschicken von SMS ohne Aufforderung des Anwenders. Wie Benjamin Daniel Mussler in seinem Blog berichtet, können über das Web-Interface des Surfsticks E303 spezielle Befehle über andere Websites ausgeführt werden, die unbemerkt SMS an beliebig viele Rufnummern verschicken.

Ermöglicht wird dies durch eine Anfälligkeit von Cross Site Request Forgery (CSRF). Durch diese Art von Sicherheitslücke können Kriminelle beliebig viele Premium-SMS-Dienste aktivieren und über den Surfstick verbuchen. Eine Bestätigung eines solchen Dienstet, welche vor Abo-Fallen schützen soll, kann ebenfalls umgangen werden.

Bereits im Dezember 2013 hat Mussler die Schwachstelle bei Huawei gemeldet. Da bislang noch kein Patch nachgereicht wurde, hat sich Mussler dazu entschieden die Schwachstelle zu veröffentlichen um so mehr druck auf den Hersteller auszuüben.

(Bild: Huawei E303 Surfstick)