華為并沒有計(jì)劃為一些存在嚴(yán)重漏洞的3G路由器打補(bǔ)丁，這些漏洞允許攻擊者更改DNS設(shè)置，無(wú)需登錄設(shè)備上傳固件，以及發(fā)動(dòng)拒絕服務(wù)攻擊。

一名安全研究人員皮埃爾·基姆在博客上表示，受影響的路由器分布在12個(gè)國(guó)家，并已不在華為的服務(wù)支持期內(nèi)。基姆主要關(guān)注了華為的B260a型號(hào)，這個(gè)型號(hào)的路由曾由突尼斯電信分發(fā)。B260a的固件在超過12款路由器上使用，該固件的最后一次更新日期為2013年2月20日。

[[151656]]

分發(fā)這些路由器的ISP為了給用戶提供定制華服務(wù)，也更改過這些固件，但漏洞問題依然存在。

B260a在cookie中以名文形式存儲(chǔ)管理員的用戶名和口令，基姆表示，攻擊者無(wú)需認(rèn)證就能獲得路由器的Wi-Fi口令。

糟糕的設(shè)計(jì)，大量的漏洞。

華為官方在8月份收到研究人員提交的信息，并很快做出了回應(yīng)，即，沒有補(bǔ)丁更新的計(jì)劃。但即使華為想為這些路由器的固件打上補(bǔ)丁，也由于ISP更改了固件，致使補(bǔ)丁更新工作變得困難。這些路由器分布在阿根廷、美國(guó)、奧地利、巴西、智利、肯尼亞、馬里、墨西哥、尼日利亞、葡萄牙、羅馬尼亞、斯洛伐尼亞、瑞典和突尼斯。