华为并没有计划为一些存在严重漏洞的3G路由器打补丁,这些漏洞允许攻击者更改DNS设置,无需登录设备上传固件,以及发动拒绝服务攻击。
一名安全研究人员皮埃尔·基姆在博客上表示,受影响的路由器分布在12个国家,并已不在华为的服务支持期内。基姆主要关注了华为的B260a型号,这个型号的路由曾由突尼斯电信分发。B260a的固件在超过12款路由器上使用,该固件的最后一次更新日期为2013年2月20日。
分发这些路由器的ISP为了给用户提供定制华服务,也更改过这些固件,但漏洞问题依然存在。
B260a在cookie中以名文形式存储管理员的用户名和口令,基姆表示,攻击者无需认证就能获得路由器的Wi-Fi口令。
糟糕的设计,大量的漏洞。
华为官方在8月份收到研究人员提交的信息,并很快做出了回应,即,没有补丁更新的计划。但即使华为想为这些路由器的固件打上补丁,也由于ISP更改了固件,致使补丁更新工作变得困难。这些路由器分布在阿根廷、美国、奥地利、巴西、智利、肯尼亚、马里、墨西哥、尼日利亚、葡萄牙、罗马尼亚、斯洛伐尼亚、瑞典和突尼斯。
