新闻链接：http://www.freebuf.com/news/26287.html
   新闻时间：2014-02-18 
   新闻正文：一些独立的安全研究表明，一些3G和4G的USB调制解调器有安全漏洞，从而允许黑客访问网络，进而进行钓鱼诈骗。

来自瑞典的Andreas Lindh表明，他看过的调制解调器都是通过内置的Web服务器进行管理，它们很容易受到一种常见的黑客攻击——跨站点请求伪造（CRSF）。其产生的后果是，如果一个家庭用户访问了一个嵌入恶意代码的网站，黑客就可以访问并控制他们的调制解调器。

Lindh在他的博客上表示黑客对于控制一台调制解调器的并不是多么感冒，他们感兴趣主要是其中的两个关键功能。其中一个就是可以使用调制解调器来发送SMS信息，这也就意味着黑客可以实现建立一个高消费频率的电话通信线路，从而在在用户毫不知情的情况进行金钱的盗取。文中还写到，不像无线路由器，没有登录的功能，所以我并不担心可以绕过它的身份验证。

Lindh进一步揭示了调制解调器的这项弱点可以直接被用于网络钓鱼攻击，使用数据URI方案，它允许在任何位置加载一个网页而无需进行任何实际托管——大部分浏览器都可以支持。他可以伪造一个Facebook登录页面，除了记录受害者实际的facebook记录外还窃受害者的登录凭证。

Lindh同时指出通过调制解调器的SMS短信功能，就可以将受害者的登录详细信息发送给黑客。他表示用网络钓鱼来描述这种攻击是有些牵强的，其实可以作为病毒式公报指出（详见：http://www.virusbtn.com/blog/2014/01_29.xml），像这样的调制解调器往往是大型企业的笔记本使用，所以潜在的网络钓鱼攻击危害将会是巨大的。

此外，黑客可以利用允许用户发帖评论的网站诸如论坛进行跨站欺骗。黑客在插入恶意内码的同时，充分利用原有网站的安全信用优势，诱骗用户点击他们的链接。Coding horror指出Digg，Gmail 和Wikipedia以及一些其他网站都可能被跨站请求伪造（CSRF）所利用。

去年的时候，俄罗斯研究人员发现，许多3G和4G的调制解调器经常会内置到笔记本电脑中，从而方便了黑客更改互联网连接默认的DNS服务器，从而将用户定向到恶意网站，这也有一种Andreas Lindh’s CSRF的感觉。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)