UMTS-Stick mit SMS-Falle

In dem verbreiteten Surfstick E303 von Huawei klafft offenbar ein Sicherheitsloch, das seinen Nutzer teuer zu stehen kommen kann. Es erlaubt Webseiten, ungefragt beliebige SMS-Nachrichten zu verschicken.

In Pocket speichern vorlesen Druckansicht 40 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Der Surftstick E303 von Huawei soll eine Sicherheitslücke enthalten, durch die Webseiten ungefragt SMS verschicken können. Der Entdecker der Lücke, Benjamin Daniel Mussler, schreibt in seinem Blog, dass der Stick ein Web-Interface hat, das für Cross Site Request Forgery (CSRF) anfällig ist – also Befehle von anderen Sites ausführt.

Eine speziell präparierte Webseite, die auf das Interface verweist, kann so unbemerkt SMS an beliebige Rufnummern verschicken. Anstatt eine Werbeanzeige für einen Premium-SMS-Dienst anzuzeigen, könnte die Seite ihn gleich buchen.

Mussler gibt an, Huawei bereits im Dezember vergangenen Jahres über die Lücke informiert zu haben. Erst kurz vor der angekündigten Veröffentlichung seines Advisories soll sich der Hersteller gerührt haben. Einen Patch gibt es laut Mussler noch nicht. (rei)