前言

很多低成本物聯(lián)網(wǎng)(IoT)設(shè)備缺乏足夠的安全措施，很容易成為黑客攻擊的目標(biāo)，比如說(shuō)接入無(wú)線網(wǎng)絡(luò)的監(jiān)控?cái)z像頭、家庭NAS設(shè)備、個(gè)人電腦以及集成到家用電器的傳感器 。

美國(guó)消費(fèi)者保護(hù)組織ConsumerGram對(duì)家用Wi-Fi路由器產(chǎn)品進(jìn)行了研究，結(jié)果顯示6個(gè)路由器中就有5個(gè)包含已知的安全漏洞且未進(jìn)行更新，接入該網(wǎng)絡(luò)的設(shè)備好比直接向黑客敞開(kāi)了大門，可危及用戶的隱私安全并導(dǎo)致經(jīng)濟(jì)損失。

[[245731]]

概述

我們?cè)谌粘Ｉ钪惺褂玫碾娮釉O(shè)備，其軟件安全性與我們的隱私密切相關(guān)，舉個(gè)例子，筆記本電腦和智能手機(jī)可能就存著與他人互動(dòng)、輸入的密碼、財(cái)務(wù)信息、社交媒體記錄和其他敏感信息等。就社會(huì)層面而言，電子設(shè)備和軟件是日常活動(dòng)的核心，就業(yè)、健康記錄、娛樂(lè)和購(gòu)物等，例子太多，不再贅述。此外，計(jì)算機(jī)和通信的安全與否對(duì)于商業(yè)和國(guó)家安全至關(guān)重要。

2018年5月，美國(guó)聯(lián)邦調(diào)查局發(fā)出警告稱，俄羅斯計(jì)算機(jī)黑客已經(jīng)入侵了數(shù)十萬(wàn)臺(tái)家庭和辦公室路由器，以收集用戶信息或劫持網(wǎng)絡(luò)流量。FBI敦促多個(gè)品牌路由器用戶重啟產(chǎn)品并更新固件。今年早些時(shí)候，思科也警告說(shuō)黑客正在利用Linksys、NETGEAR、TP-Link和其他公司生產(chǎn)的主流路由器產(chǎn)品進(jìn)行非法活動(dòng)。

黑客瞄準(zhǔn)家用硬件設(shè)備，尤其是路由器的原因是它們的隨機(jī)軟件或者固件一般比較簡(jiǎn)陋，而且更新頻率很低，此外很多固件還是基于開(kāi)源代碼構(gòu)建的，本身就更容易為黑客所知。近年來(lái)，開(kāi)源代碼作為一種經(jīng)濟(jì)的定制方式，各行各業(yè)都大面積采用，涵蓋操作系統(tǒng)、應(yīng)用軟件、開(kāi)發(fā)工具和固件等。路由器產(chǎn)品也是如此，基于開(kāi)源代碼的固件一般功能比較強(qiáng)大，但如果開(kāi)源代碼本身存在漏洞時(shí)，廠商一方面難以及時(shí)推出補(bǔ)丁，另一面即使有了新版固件，用戶也不一定收得到更新或者是知道還有這么回事。

ConsumerGram此番的探索旨在明確家用路由器本身以及接入的設(shè)備受到網(wǎng)絡(luò)犯罪和其他威脅的影響等級(jí)，換句話說(shuō)就是分析和檢查路由器制造商為消費(fèi)者提供了多大程度的安全保護(hù)。包含已知安全漏洞且未修復(fù)的設(shè)備更容易泄露用戶數(shù)據(jù)，成為惡意活動(dòng)、身份盜竊、欺詐和間諜植入的目標(biāo)。這里提供的結(jié)果基于來(lái)自14個(gè)不同制造商的186款Wi-Fi路由器產(chǎn)品，這些路由器是市場(chǎng)上的熱門產(chǎn)品，并且產(chǎn)品網(wǎng)站提供固件下載(測(cè)試路由器的完整列表，請(qǐng)參閱附錄)。這里ConsumerGram使用了Insignary Clarity軟件掃描嵌入式固件以識(shí)別待測(cè)路由器中開(kāi)源組件相關(guān)的特定風(fēng)險(xiǎn)和未修復(fù)的安全漏洞。

結(jié)果顯示，186款測(cè)試的路由器中155款(83%)的固件發(fā)現(xiàn)可導(dǎo)致網(wǎng)絡(luò)攻擊的漏洞，每款路由器平均存在多達(dá)172個(gè)漏洞。

圖1：存在已知漏洞的路由器的百分比

每個(gè)漏洞的嚴(yán)重性由漏洞數(shù)據(jù)庫(kù)排名。根據(jù)不同的得分，每個(gè)漏洞的風(fēng)險(xiǎn)等級(jí)分為低風(fēng)險(xiǎn)、中等風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)或關(guān)鍵 。高風(fēng)險(xiǎn)和關(guān)鍵漏洞利用起來(lái)更加方便，無(wú)需特別多的知識(shí)即可掌握而且危害程度也更高，它們很少用于直接破壞設(shè)備固件，惡意軟件常通過(guò)這兩類漏洞潛伏在設(shè)備中進(jìn)行長(zhǎng)期的惡意活動(dòng)，比如說(shuō)惡意挖礦腳本。

這155款路由器中存在的漏洞，其中28%屬于高風(fēng)險(xiǎn)和關(guān)鍵(參見(jiàn)圖2)級(jí)別。平均每款路由器包含12個(gè)關(guān)鍵和36個(gè)高風(fēng)險(xiǎn)漏洞，而中等風(fēng)險(xiǎn)漏洞則高達(dá)103個(gè)。

圖2：漏洞分布

本次對(duì)設(shè)備和軟件安全性的測(cè)試非常簡(jiǎn)單，然而結(jié)果卻非常嚴(yán)峻，家用路由器可謂非常脆弱，正在成為網(wǎng)絡(luò)攻擊的主要目標(biāo)之一。

賽門鐵克發(fā)布的年度互聯(lián)網(wǎng)安全威脅報(bào)告顯示 ，2017 年物聯(lián)網(wǎng)攻擊增加了600% ，路由器是被攻擊次數(shù)最多的設(shè)備類型， 占33.6%。Cybersecurity Ventures發(fā)布的2017年度網(wǎng)絡(luò)犯罪報(bào)告中，預(yù)測(cè)物聯(lián)網(wǎng)設(shè)備將成為2018年的主要技術(shù)犯罪驅(qū)動(dòng)因素，到2021年網(wǎng)絡(luò)犯罪將帶來(lái)6萬(wàn)億美元的經(jīng)濟(jì)損失。

總結(jié)

研究結(jié)果表明，Wi-Fi路由器的安全性極其不受廠商和用戶的重視。簡(jiǎn)單地重置路由器無(wú)法解決根本性的問(wèn)題，修復(fù)漏洞帶來(lái)了成本也導(dǎo)致廠商不上心，但從長(zhǎng)遠(yuǎn)計(jì)廠商和用戶承擔(dān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)成本其實(shí)更高。

附錄

測(cè)試的路由器型號(hào)：