Een wifi-router die in China wordt verkocht blijkt vol ernstige kwetsbaarheden te zitten waardoor een aanvaller zonder inloggegevens het apparaat volledig kan overnemen. Ook wordt er JavaScript van een derde partij aan het internetverkeer van gebruikers toegevoegd. Het gaat om de uRouter van fabrikant BHU WiFi.

Onderzoeker Tao Sauvage van beveiligingsbedrijf IOActive was onlangs in China en besloot als souvenir een aantal apparaten als souvenir mee te nemen, waaronder de uRouter. Aangezien de handleiding en webinterface in het Chinees waren besloot Sauvage de firmware te analyseren. Daarbij liep hij tegen enkele ernstige kwetsbaarheden aan. Zo bleek dat de authenticatie eenvoudig te omzeilen is, kan er toegang tot de beheerdersfuncties en vertrouwelijke informatie in logbestanden worden verkregen en is het mogelijk om zonder inloggegevens opdrachten voor het besturingssysteem te injecteren die vervolgens met rootrechten worden uitgevoerd.

Verder blijkt de router een JavaScript-bestand van een derde partij aan het http-verkeer van gebruikers toe te voegen. Het doel hiervan is onduidelijk, maar in het verleden is er vaker JavaScript aan het verkeer van Chinese internetgebruikers toegevoegd, onder andere voor het uitvoeren van een DDoS-aanval tegen GitHub.com. Verder wordt het apparaat met verborgen gebruikersaccounts, een ingeschakelde ssh-server en een vast rootwachtwoord geleverd. IOActive probeerde de fabrikant in mei over de gevonden beveiligingslekken te informeren, maar dit had geen succes, zo blijkt uit de nu gepubliceerde advisory (pdf).