Operatorzy telekomunikacyjni, którzy oferują usługę dostępu do internetu za pomocą telefonii komórkowej 3G/4G, sprzedają także modemy USB. Dla systemów typu UNIX modemy te są najczęściej widoczne jako port szeregowy usbserial i obsługiwane przez mechanizmy systemu operacyjnego. W systemach Microsoft Windows modemy te wymagają sterowników dostarczanych przez producenta.

Dwaj rosyjscy badacze Nikita Tarakanow i Oleg Kupriejew dokonali analizy bezpieczeństwa modemów USB i przedstawili wyniki swoich badań na konferencji Black Hat Europe 2013 w Amsterdamie. Tarakanow specjalizuje się w szukaniu podatności i pisaniu eksploitów dla sterowników pracujących w trybie jądra nowych systemów Windows, a Kupriejew jest liderem tego projektu badawczego. Wyniki prowadzonych przez kilka miesięcy badań są zatrważające, gdyż według obu specjalistów większość modemów nie zapewnia bezpieczeństwa oprogramowania.

Nikita Tarakanow wyjaśnia: "Większość modemów 3G/4G sprzedawanych przez operatorów w Rosji i prawdopodobnie także w innych krajach pochodzi z fabryki chińskich dostawców Huawei oraz ZTE. Takie modemy są następnie brandowane przez operatorów i wprowadzane na rynek. Proces jest ten sam w różnych krajach, a zatem wyniki badań modemów wprowadzanych przez innych operatorów będą podobne".

Problem dotyczy także środowiska korporacyjnego, gdyż te same modemy działają także w firmach.

1 Nośnik złośliwego oprogramowania

Modem zawiera obraz firmware, który można skopiować z urządzenia, zmodyfikować, a następnie zapisać z powrotem do pamięci Flash. Do tego celu można wykorzystać narzędzia dostarczane przez Huawei oraz przez innych dostawców. Zatem złośliwe oprogramowanie mogłoby wykryć rodzaj modemu dołączonego do komputera, pobrać i zainstalować w nim obraz zawierający wirusa, który następnie zostanie zainstalowany, gdy użytkownik dołączy modem do innego komputera.

2 Złośliwa aplikacja

Modemy zawierają specjalną aplikację dla systemu Windows, która jest instalowana razem ze sterownikami i umożliwia zarządzanie modemem oraz połączeniami. Do konfiguracji połączeń wykorzystywane są pliki tekstowe zapisane przez instalator aplikacji. Chociaż sam kod aplikacji jest podpisany cyfrowo, a zatem niezmienny, pliki konfiguracyjne można łatwo zmienić. Drobna modyfikacja umożliwia przekierowanie wszystkich zapytań DNS do obcego serwera, co skutkuje przekierowaniem ruchu. Odnotowano już takie ataki, gdy ruch przekierowywano np. do stron serwujących reklamy, udających bankowość elektroniczną konkretnego banku lub roznoszących złośliwe oprogramowanie.

3 Fałszywy antywirus

Wiele plików konfiguracyjnych zawiera odnośniki do opcjonalnej instalacji oprogramowania antywirusowego. Chociaż operatorzy czasami promują sprzedaż antywirusa razem z abonamentem, badacze nigdy nie znaleźli dystrybucji antywirusa wewnątrz obrazu Flash w modemie. Tarakanow wyjaśnia scenariusz ataku: "Napastnik mógłby opracować własny obraz firmware'u ze zmienioną konfiguracją, która zawiera złośliwe oprogramowanie zamiast antywirusa. W takim przypadku użytkownik Windows instalowałby nie tylko sterowniki, ale także malware podające się za oprogramowanie antywirusowe". Ponieważ użytkownik traktuje modem jako sprzęt, będzie o wiele mniej podejrzliwy niż w przypadku nośników wymiennych.

4 Hurtowe infekcje

Analiza wbudowanego oprogramowania wskazała na istnienie wektora masowych ataków. Po zainstalowaniu oprogramowania narzędzia obsługi modemu Huawei co pewien czas łączą się z pojedynczym serwerem i sprawdzają obecność aktualizacji. Modemy brandowane przez operatora poszukują aktualizacji w odpowiednim dla operatora katalogu. Gdyby udało się przejąć kontrolę nad tym serwerem aktualizacji, można uruchomić masowy atak, zarażając modemy różnych operatorów jednocześnie. Być może aktualizacje w innych krajach korzystają z innego serwera, ale mechanizm jest ten sam.