安全研究人员在华为的一款LTE USB 加密狗中发现了一个代码执行漏洞。

作为华为移动宽带加密狗系列的一部分，华为 LTE USB Stick E3372 可以插入计算机，使用户能够使用 LTE 网络浏览互联网。

然而，网络安全公司 Trustwave 发现了一个相当容易利用的设备漏洞。在一篇博客文章中，Trustwave 的安全研究经理 Martin Rakhmanov 解释了该漏洞的存在，因为其中一个安装的文件缺少适当的访问控制设置。

“恶意用户所需要做的就是用他们自己想要的代码替换文件，然后等待合法用户开始通过华为设备使用蜂窝数据服务，”拉赫曼诺夫写道。敲错门

根据 Trustwave 的说法，当用户插入加密狗时，这个受影响的文件会自动执行。它旨在启动默认的 Web 浏览器并将其指向加密狗的设备管理界面。

但是，华为尚未对该文件设置适当的权限。这使计算机上的任何经过身份验证的用户都可以覆盖该文件。

Rakhmanov 解释说，恶意用户所需要做的就是用他们自己的恶意代码替换文件的内容。现在，当用户插入加密狗时，它会自动执行恶意代码。

Trustwave 告诉The Register，过去几个月它一直试图让华为注意这个问题，但没有取得任何进展。事实证明，他们一直将问题报告给错误的地址。

无论如何，一旦通过适当的渠道得到通知，华为很快就发布了补丁来修复文件的权限。