Huawei 4G上網手指 變成入侵工具 改寫程式可奪取電腦控制權

Huawei 4G上網手指 變成入侵工具 改寫程式可奪取電腦控制權

Huawei 最近不單推出了震驚世界的自家手機作業系統 HarmonyOS(鴻蒙),更被 Trustwave 發現 Huawei 4G上網手指 的 autoruns 權限存在嚴重漏洞,黑客可以經 USB 手指植入惡意軟件,越過防護工具的安全底線!

目錄

Huawei上網手指持有最高權限

自動執行程式加料

用戶須手動更新

常見的 USB 手指陷阱

Huawei上網手指持有最高權限

網絡安全服務供應商 Trustwave 的研究經理 Martin Rakhmanov ,剛於上星期揭露一個關於 Huawei 4G USB上網手指 E3372 的安全漏洞報告。當他每日插入這款上網手指,都發現 macOS 內一個稱為 mbbserviceopen 的檔案會被自動執行,然後打開預設瀏覽器進入 Huawei 上網裝置的管理介面。 Martin 於是細心檢查這個 mbbserviceopen 檔案,竟發現它持有作業系統的最高權限,即任何人都可以存取檔案及執行程式。

自動執行程式加料

Martin 解釋,黑客只要預先修改這個檔案,於自動執行程式中加入惡意編碼,然後等待電腦用戶插入這隻手指,惡意軟件即可被自動執行,過程中完全隱形,用戶無法察覺。即使受害者本身並非電腦的管理員,惡意軟件可於藉著 Huawei USB 上網手指持有的最高權限執行指示,例如盜取已儲存的密碼並經 USB 手指外傳。

用戶須手動更新

要利用這個漏洞入侵電腦,黑客必須事先取得上網手指並加入惡意程式,如果要於企業的電腦上安裝 Huawei 上網裝置的驅動程式,亦必須持有管理員(administrator)權限,相反如電腦上早已安裝了驅動程式便簡單得多。經舉報後,現時 Huawei 已經推出更新檔堵塞漏洞,在新的驅動程式內亦不見有這條 autoruns 指令。不過,由於這類型上網手指並不支援自動更新功能,因此 E3372 用戶必須自行到 Huawei 網站下載及安裝更新檔案。

常見的 USB 手指陷阱

一般人處置 USB 手指的態度,一向都是安全專家擔心的問題,因為只要將 USB 插入電腦,內裏的惡意軟件便可靜悄悄執行。黑客設下的陷阱亦非常花心思,除了裝扮成贈品或遺失物品,更會假扮成大型連鎖店的劈價優惠目錄,利用人類貪小便宜的心態,引誘目標人物打開手指瀏覽,達成入侵目標。此外,免費的 USB 充電插頭亦是另一陷阱,因此大家在使用這些來歷不明的 USB 手指及充電插時,便要特別小心!

詳情:https://bit.ly/3xloMin