Prezent z Chin z … prezentem w postaci wstrzykiwania zewnętrznego JavaScript do komunikacji użytkowników

Tym razem bohaterem jest router przywieziony z Chin:

Rzadko zdarzają się tak dokładne analizy różnych problemów bezpieczeństwa na urządzeniach sieciowych – tym razem mamy dostęp m.in. dostęp do roota przez podanie odpowiedniej nazwy ciastka + eskalację poprzez wstrzyknięcie do wykonania traceroute.

Z ciekawostek – w routerze jest zainstalowany privoxy, potrafiący pozytywnie wpłynąć na prywatność użytkownika. Tutaj jednak narzędzie to zostało użyte do wstrzykiwania reklam w JS do komunikacji http użytkownika routera (!). Co więcej, reklama jest hostowana z zewnętrznego serwisu. Zatem… od razu wszyscy użytkownicy routera są pwned. Czy to nie pięk^H^H^H^H przerażające?

–ms