Huawei verschenkt 10.000 Smartphones – Schwachstellen ignoriert
sToRm 
Der bekannte Hersteller von Smartphones und anderen Endgeräten, hält es seit Juli 2013 offenbar nicht für nötig, mehrere bekannte Sicherheitslücken innerhalb der eigenen Internetangebote zu beseitigen. Seit etwa 8 Monaten liegen dem Unternehmen „Huawei“ Informationen zu Schwachstellen vor, welche eine enorme Gefahr für die Sicherheit der Besucher darstellen. Ich habe die Verantwortlichen über Monate hinweg, mehrmals gebeten, die Sicherheitsrisiken zu beseitigen, um die Besucher vor möglichen Angriffen zu schützen. Erst auf meinen letzten Hinweis Ende Januar, hat man am 2. Februar 2014 reagiert und versprochen, dass man sich um die Angelegenheit kümmern werde.
Da die bekannten Sicherheitsprobleme leider weiterhin bestehen und ein potentielles Risiko für Kunden und Besucher darstellen, habe ich beschlossen, die Risiken derartiger Schwachstellen einmal direkt darzustellen. Über ungefilterte Parameter lässt sich die Seitenausgabe manipulieren und individuell gestalten. Ein Angreifer kann diese Problematik nutzen, um Besucher über präparierte Links, auf eine manipulierte Seite – direkt bei Huawei – zu leiten. Da sich der Inhalt nahezu unbegrenzt anpassen lässt und es sich um das Internetangebot eines Smartphone-Herstellers handelt, ist die Gefahr – gerade für unerfahrene User – besonders groß. Ein Angreifer könnte zum Beispiel einen vermeintlichen Downloadbereich für Treiber einrichten und dort – statt der Treiberpakete – Malware zum Download anbieten. Ist die Fälschung gut, könnten sogar erfahrene User auf den Betrug hereinfallen und schnell zum Opfer werden. Warum XSS gefährlich ist, habe ich im damaligen Beitrag schon grob angeschnitten.
Als Demonstration der Gefahr, habe ich spontan eine Aktion gestartet. Huawei verschenkt nun 10.000 Smartphones (klick) an die ersten 10.000 Besucher, die ihre E-Mail-Adresse in das Formular eintragen und den Download starten. Selbstverständlich handelt es sich dabei nicht um ein echtes „Gewinnspiel“, sondern lediglich um einen Versuch, die Öffentlichkeit über den Missstand bei Huawei und die besonders große Gefahr solcher Schwachstellen zu informieren. Bisher werden „XSS-Schwachstellen“ meist belächelt, da kein direkter Zugriff auf den Server, die Datenbanken oder gesicherte Bereiche stattfindet. Jedoch kann man XSS gut nutzen, um sich indirekt Zugriff auf höhere Ebenen zu verschaffen oder einfach nur um auf „Opferjagd“ zu gehen. Bei meiner Aktion werden selbstverständlich keine Eingaben gespeichert und auch die heruntergeladene Anwendung ist absolut ungefährlich. Das „Opfer“ wird lediglich darauf hingewiesen, dass DAS nun auch Malware sein könnte, die heruntergeladen wurde. Ich hoffe, dass man mir die gewagte Offensive nicht allzu „krumm nehmen“ wird. Als kleine Entschädigung für die traurigen Gesichter, werde ich mir eine kleine Verlosung bei Sicherheit-Online überlegen. :-)
Vielleicht hat die Aktion Erfolg und man beginnt endlich zu verstehen, wie gefährlich auch XSS sein kann und wie wichtig es ist, möglichst schnell auf Sicherheitswarnungen zu reagieren. Ich bin ja wirklich ein geduldiger Mensch und habe immer Verständnis, wenn in manchen – gerade großen – Unternehmen, die Absicherung ein wenig länger dauert. Aber nach mehreren Monaten sollte dann doch zumindest das Leck gestopft sein.
Update 05.03.2014:
Scheinbar möchte man bei Huawei keine Smartphones verschenken. Zunächst lässt man sich viele Monate Zeit – jetzt geht es plötzlich ganz schnell. Binnen weniger Stunden hat man wohl bei Huawei die Aktion mitbekommen und die oben veröffentlichte Schwachstelle beseitigt. Ein „Cyber Security Officer“ von Huawei hat mich ebenfalls kontaktiert und um Rückmeldung gebeten. Na was sag man denn dazu? Wenn das Schließen der Schwachstellen über normale Kontaktwege anscheinend nicht funktioniert, aber nach einem Veröffentlichen von Schwachstellen sofort gehandelt wird, dann gibt es jetzt nur eine produktive Folgerung, oder? Ich führe die Aktion woanders fort: Huawei verschenkt 10.000 Smartphones #2 (klick) Mal sehen, wie lange das Ganze nun dauert – Ich bin gespannt. Anmerkung: Auch diese Schwachstelle ist seit Juli 2013 (!) bei Huawei bekannt. Offenbar hat man nur den Beitrag hier gelesen und sich nicht wirklich die Mühe gemacht, bisherige Sicherheitswarnungen zu prüfen. Aber mal sehen, wohin die Reise führt…
Update 06.03.2014:
Herrlich! Ich habe tatsächlich Recht behalten. Nachdem ich das Update über die Schwachstellen veröffentlicht und eine weitere Problemstelle erkennbar gemacht hatte, ist auch die zweite Aktion kurzfristig von Huawei beendet worden. Binnen weniger Stunden hat man die Schwachstelle geschlossen. Na wenn das SO tatsächlich schneller und unkomplizierter geht, dann wollen wir doch gleich weiter für noch mehr Sicherheit sorgen. Hier geht es zur Aktion: Huawei verschenkt 10.000 Smartphones #3 (klick) Jetzt bin ich aber gespannt, ob sich die Sache wieder so schnell erledigen wird. Für die Zukunft wäre es doch glatt eine Überlegung, statt mehreren Hinweisen mit hoher Diskretion, einfach öffentliche Sonderaktionen bei den Betroffenen zu starten. Da hat sich Huawei doch noch ein Stück Symphatie zurückerobert. :-) Auf diesem Weg ein Dank an Michael Schwarz. Ich war so frei, die Sache mal eben ins Programm mit aufzunehmen.
