很多低成本物聯(lián)網(wǎng)(IoT)設(shè)備缺乏足夠的安全措施,很容易成為黑客攻擊的目標(biāo),比如說(shuō)接入無(wú)線網(wǎng)絡(luò)的監(jiān)控?cái)z像頭、家庭NAS設(shè)備、個(gè)人電腦以及集成到家用電器的傳感器 。
美國(guó)消費(fèi)者保護(hù)組織ConsumerGram對(duì)家用Wi-Fi路由器產(chǎn)品進(jìn)行了研究,結(jié)果顯示6個(gè)路由器中就有5個(gè)包含已知的安全漏洞且未進(jìn)行更新,接入該網(wǎng)絡(luò)的設(shè)備好比直接向黑客敞開(kāi)了大門,可危及用戶的隱私安全并導(dǎo)致經(jīng)濟(jì)損失。
概述
我們?cè)谌粘I钪惺褂玫碾娮釉O(shè)備,其軟件安全性與我們的隱私密切相關(guān),舉個(gè)例子,筆記本電腦和智能手機(jī)可能就存著與他人互動(dòng)、輸入的密碼、財(cái)務(wù)信息、社交媒體記錄和其他敏感信息等。就社會(huì)層面而言,電子設(shè)備和軟件是日常活動(dòng)的核心,就業(yè)、健康記錄、娛樂(lè)和購(gòu)物等,例子太多,不再贅述。此外,計(jì)算機(jī)和通信的安全與否對(duì)于商業(yè)和國(guó)家安全至關(guān)重要。
2018年5月,美國(guó)聯(lián)邦調(diào)查局發(fā)出警告稱,俄羅斯計(jì)算機(jī)黑客已經(jīng)入侵了數(shù)十萬(wàn)臺(tái)家庭和辦公室路由器,以收集用戶信息或劫持網(wǎng)絡(luò)流量。FBI敦促多個(gè)品牌路由器用戶重啟產(chǎn)品并更新固件。今年早些時(shí)候,思科也警告說(shuō)黑客正在利用Linksys、NETGEAR、TP-Link和其他公司生產(chǎn)的主流路由器產(chǎn)品進(jìn)行非法活動(dòng)。
黑客瞄準(zhǔn)家用硬件設(shè)備,尤其是路由器的原因是它們的隨機(jī)軟件或者固件一般比較簡(jiǎn)陋,而且更新頻率很低,此外很多固件還是基于開(kāi)源代碼構(gòu)建的,本身就更容易為黑客所知。近年來(lái),開(kāi)源代碼作為一種經(jīng)濟(jì)的定制方式,各行各業(yè)都大面積采用,涵蓋操作系統(tǒng)、應(yīng)用軟件、開(kāi)發(fā)工具和固件等。路由器產(chǎn)品也是如此,基于開(kāi)源代碼的固件一般功能比較強(qiáng)大,但如果開(kāi)源代碼本身存在漏洞時(shí),廠商一方面難以及時(shí)推出補(bǔ)丁,另一面即使有了新版固件,用戶也不一定收得到更新或者是知道還有這么回事。
ConsumerGram此番的探索旨在明確家用路由器本身以及接入的設(shè)備受到網(wǎng)絡(luò)犯罪和其他威脅的影響等級(jí),換句話說(shuō)就是分析和檢查路由器制造商為消費(fèi)者提供了多大程度的安全保護(hù)。包含已知安全漏洞且未修復(fù)的設(shè)備更容易泄露用戶數(shù)據(jù),成為惡意活動(dòng)、身份盜竊、欺詐和間諜植入的目標(biāo)。這里提供的結(jié)果基于來(lái)自14個(gè)不同制造商的186款Wi-Fi路由器產(chǎn)品,這些路由器是市場(chǎng)上的熱門產(chǎn)品,并且產(chǎn)品網(wǎng)站提供固件下載(測(cè)試路由器的完整列表,請(qǐng)參閱附錄)。這里ConsumerGram使用了Insignary Clarity軟件掃描嵌入式固件以識(shí)別待測(cè)路由器中開(kāi)源組件相關(guān)的特定風(fēng)險(xiǎn)和未修復(fù)的安全漏洞。
結(jié)果顯示,186款測(cè)試的路由器中155款(83%)的固件發(fā)現(xiàn)可導(dǎo)致網(wǎng)絡(luò)攻擊的漏洞,每款路由器平均存在多達(dá)172個(gè)漏洞。
圖1:存在已知漏洞的路由器的百分比
每個(gè)漏洞的嚴(yán)重性由漏洞數(shù)據(jù)庫(kù)排名。根據(jù)不同的得分,每個(gè)漏洞的風(fēng)險(xiǎn)等級(jí)分為低風(fēng)險(xiǎn)、中等風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)或關(guān)鍵 。高風(fēng)險(xiǎn)和關(guān)鍵漏洞利用起來(lái)更加方便,無(wú)需特別多的知識(shí)即可掌握而且危害程度也更高,它們很少用于直接破壞設(shè)備固件,惡意軟件常通過(guò)這兩類漏洞潛伏在設(shè)備中進(jìn)行長(zhǎng)期的惡意活動(dòng),比如說(shuō)惡意挖礦腳本。
這155款路由器中存在的漏洞,其中28%屬于高風(fēng)險(xiǎn)和關(guān)鍵(參見(jiàn)圖2)級(jí)別。平均每款路由器包含12個(gè)關(guān)鍵和36個(gè)高風(fēng)險(xiǎn)漏洞,而中等風(fēng)險(xiǎn)漏洞則高達(dá)103個(gè)。
圖2:漏洞分布
本次對(duì)設(shè)備和軟件安全性的測(cè)試非常簡(jiǎn)單,然而結(jié)果卻非常嚴(yán)峻,家用路由器可謂非常脆弱,正在成為網(wǎng)絡(luò)攻擊的主要目標(biāo)之一。
賽門鐵克發(fā)布的年度互聯(lián)網(wǎng)安全威脅報(bào)告顯示 ,2017 年物聯(lián)網(wǎng)攻擊增加了600% ,路由器是被攻擊次數(shù)最多的設(shè)備類型, 占33.6%。Cybersecurity Ventures發(fā)布的2017年度網(wǎng)絡(luò)犯罪報(bào)告中,預(yù)測(cè)物聯(lián)網(wǎng)設(shè)備將成為2018年的主要技術(shù)犯罪驅(qū)動(dòng)因素,到2021年網(wǎng)絡(luò)犯罪將帶來(lái)6萬(wàn)億美元的經(jīng)濟(jì)損失。
總結(jié)
研究結(jié)果表明,Wi-Fi路由器的安全性極其不受廠商和用戶的重視。簡(jiǎn)單地重置路由器無(wú)法解決根本性的問(wèn)題,修復(fù)漏洞帶來(lái)了成本也導(dǎo)致廠商不上心,但從長(zhǎng)遠(yuǎn)計(jì)廠商和用戶承擔(dān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)成本其實(shí)更高。
附錄
測(cè)試的路由器型號(hào):
| 
