通过恶意短信获得TP-Link M5350移动路由器账号密码

德国IT安全公司的JanHörsch发现了一个奇怪的TP-Link移动路由器漏洞,这个漏洞影响了TP-Link M5350 3G / Wi-Fi路由器,它可以通过发送一条XSS恶意短信来获得TP-Link M5350 3G / Wi-Fi路由器的账号密码。

该漏洞是由德国公司Securai的安全研究员JanHörsch发现的,基本上它就是一个跨站点脚本(XSS)漏洞,可以通过发送包含以下攻击脚本的SMS来攻击攻击者:

QQ截图20170410170508

JanHörsch表示这个TP-Link M5350的移动路由器XSS漏洞是由SMS触发的,如果攻击者发送相应的恶意短信,它就会返回管理员的明文登录数据包括明文密码。

Hörsch对各种互联网设备的多个漏洞进行了深入研究。他分析了在几个智能对象上运行的固件,并发现多个容易攻击的错误,研究结果在最近的卡巴斯基安全分析师峰会上介绍。

TP-Link的M5350 3G / Wi-Fi调制解调器的缺陷似乎是由开发人员创建的功能,可能用于测试,不幸的是,它在生产中没有被删除。

设备的管理员凭据可以让攻击者通过简单的短信检索,路由器会以管理员用户名,管理员密码,其SSID及其登录密码进行回复。

TP-Link-3G-Wi-Fi-modem-spills-credentials

 

*来源:heise,MottoIN整理发布

原创文章,作者:SecNews,如若转载,请注明出处:http://www.mottoin.com/100354.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code