Un difetto in O2 router potrebbe portare a dirottare
La banda larga e l'operatore di telefonia mobile, e il router produttore Thomson, ha detto che stanno lavorando su una correzione per il cross-site request forgery difetto. O2 ha rifiutato di commentare i dettagli del problema, ma ha detto in una dichiarazione martedì che ha collaborato con il ricercatore di sicurezza che ha segnalato la vulnerabilità per capirlo.
Il potenziale difetto è stato segnalato la prima volta il 28 agosto da Paolo Mutton, un ricercatore di sicurezza e di O2 a banda larga a casa del cliente. Sul suo blog, ha scritto che l'O2 Wireless Box II e Wireless Casella III, versioni personalizzate del Thomson TG585 e TG585n router, rispettivamente, soffriva di "una grave vulnerabilità di sicurezza che consente agli aggressori remoti di accedere a una casa privata dell'utente di rete e di visualizzare/modificare le impostazioni del router".
Montone notato che diverse difese contro il cross-site request forgery (CSRF) — tipo di attacco nel quale non autorizzato comandi vengono inviati a un sito web dall'indirizzo IP dell'utente, sono state usate nel router, ma ha detto che un difetto di progettazione significato di queste protezioni potrebbe essere bypassata.
"Questo difetto consente agli aggressori remoti di prendere quasi il pieno controllo del router, tra cui rubare la chiave di crittografia wireless (anche se le più avanzate impostazione WPA2 è stata attivata) e l'inoltro di porte esterne di indirizzi IP interni" Castrato scritto.
Il ricercatore ha detto di non rivelare dettagli specifici del difetto fino a quando non è stato risolto.
O2 ha detto: "La stragrande maggioranza dei router di casa sono forniti da Thomson, e la stessa [problema] si applica a tutti."
Giovedì, Thomson ha detto in una dichiarazione che era "lavorare a stretto contatto con O2 su questo tema", ma non dire che gli altri Isp utilizzare il TG585n o come molti dei router in circolazione nel regno UNITO.
Secondo di carne di Montone, alcuni router da banda larga, che è di proprietà di O2, e Zen Internet sono interessati.
Autore: Keylogger.Org Team