USB 4G của Huawei có chứa lỗ hổng bảo mật nghiêm trọng

Tuần vừa rồi, các nhà nghiên cứu bảo mật của hãng Trustwave đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong sản phẩm USB 4G của Huawei. USB 4G là thiết bị dùng để cung cấp kết nối internet cho laptop hoặc máy tính để bàn qua cổng USB.

Theo ông Martin Rakhmanov, quản lý nghiên cứu bảo mật của Trustwave, chiếc USB 4G chứa lỗ hổng thuộc mẫu E3372. Khi được cắm vào máy tính, tệp sau sẽ luôn luôn tự động chạy. Nó có nhiều vụ mở trình duyệt web để hiển thị giao diện quản lý thiết bị của Huawei.

/Library/StartupItems/MobileBrServ/mbbserviceopen.app/Contents/MacOS/mbbserviceopen

Tuy nhiên, vấn đề nằm ở chỗ tệp "mbbserviceopen" lại được thiết lập đầy đủ quyền truy cập. Kẻ tấn công có thể thay thế tập tin này bằng code độc hại và chờ tới khi người dùng cắm USB 4G vào máy để tiến hành khai thác.

Kẻ tấn công có thể chiếm quyền kiểm soát máy tính, đánh cắp thông tin, dữ liệu hoặc thực thi code tùy ý nếu khai thác thành công.

Có một điều cần lưu ý là để thực hiện thành công việc khai thác lỗ hổng này kẻ tấn công phải tiếp xúc được với chiếc USB 4G Huawei của nạn nhân. Hoặc chúng có thể lừa nạn nhân cắm vào máy chiếc USB 4G Huawei cài sẵn mã độc của chúng.

Huawei đã xác nhận với trang BleepingComputer rằng đây là một lỗ hổng và đưa ra cách khắc phục cho người dùng. Huawei khuyên người dùng đang sử dụng USB 4G model E3372 lấy tệp driver "Hi Link" từ trang chủ của họ để khắc phục lỗ hổng.

• Tải driver mới nhất cho USB 4G E3372

Huawei cam kết rằng bảo mật của khách hàng là ưu tiên hàng đầu của họ. Huawei khuyến khích mọi người báo cáo cho họ nếu phát hiện ra lỗ hổng hoặc các vấn đề về bảo mật.