前言

很多低成本物聯(lián)網(wǎng)(IoT)設(shè)備缺乏足夠的安全措施，很容易成為黑客攻擊的目標，比如說接入無線網(wǎng)絡(luò)的監(jiān)控攝像頭、家庭NAS設(shè)備、個人電腦以及集成到家用電器的傳感器 。

美國消費者保護組織ConsumerGram對家用Wi-Fi路由器產(chǎn)品進行了研究，結(jié)果顯示6個路由器中就有5個包含已知的安全漏洞且未進行更新，接入該網(wǎng)絡(luò)的設(shè)備好比直接向黑客敞開了大門，可危及用戶的隱私安全并導(dǎo)致經(jīng)濟損失。

[[245731]]

概述

我們在日常生活中使用的電子設(shè)備，其軟件安全性與我們的隱私密切相關(guān)，舉個例子，筆記本電腦和智能手機可能就存著與他人互動、輸入的密碼、財務(wù)信息、社交媒體記錄和其他敏感信息等。就社會層面而言，電子設(shè)備和軟件是日常活動的核心，就業(yè)、健康記錄、娛樂和購物等，例子太多，不再贅述。此外，計算機和通信的安全與否對于商業(yè)和國家安全至關(guān)重要。

2018年5月，美國聯(lián)邦調(diào)查局發(fā)出警告稱，俄羅斯計算機黑客已經(jīng)入侵了數(shù)十萬臺家庭和辦公室路由器，以收集用戶信息或劫持網(wǎng)絡(luò)流量。FBI敦促多個品牌路由器用戶重啟產(chǎn)品并更新固件。今年早些時候，思科也警告說黑客正在利用Linksys、NETGEAR、TP-Link和其他公司生產(chǎn)的主流路由器產(chǎn)品進行非法活動。

黑客瞄準家用硬件設(shè)備，尤其是路由器的原因是它們的隨機軟件或者固件一般比較簡陋，而且更新頻率很低，此外很多固件還是基于開源代碼構(gòu)建的，本身就更容易為黑客所知。近年來，開源代碼作為一種經(jīng)濟的定制方式，各行各業(yè)都大面積采用，涵蓋操作系統(tǒng)、應(yīng)用軟件、開發(fā)工具和固件等。路由器產(chǎn)品也是如此，基于開源代碼的固件一般功能比較強大，但如果開源代碼本身存在漏洞時，廠商一方面難以及時推出補丁，另一面即使有了新版固件，用戶也不一定收得到更新或者是知道還有這么回事。

ConsumerGram此番的探索旨在明確家用路由器本身以及接入的設(shè)備受到網(wǎng)絡(luò)犯罪和其他威脅的影響等級，換句話說就是分析和檢查路由器制造商為消費者提供了多大程度的安全保護。包含已知安全漏洞且未修復(fù)的設(shè)備更容易泄露用戶數(shù)據(jù)，成為惡意活動、身份盜竊、欺詐和間諜植入的目標。這里提供的結(jié)果基于來自14個不同制造商的186款Wi-Fi路由器產(chǎn)品，這些路由器是市場上的熱門產(chǎn)品，并且產(chǎn)品網(wǎng)站提供固件下載(測試路由器的完整列表，請參閱附錄)。這里ConsumerGram使用了Insignary Clarity軟件掃描嵌入式固件以識別待測路由器中開源組件相關(guān)的特定風險和未修復(fù)的安全漏洞。

結(jié)果顯示，186款測試的路由器中155款(83%)的固件發(fā)現(xiàn)可導(dǎo)致網(wǎng)絡(luò)攻擊的漏洞，每款路由器平均存在多達172個漏洞。

圖1：存在已知漏洞的路由器的百分比

每個漏洞的嚴重性由漏洞數(shù)據(jù)庫排名。根據(jù)不同的得分，每個漏洞的風險等級分為低風險、中等風險、高風險或關(guān)鍵 。高風險和關(guān)鍵漏洞利用起來更加方便，無需特別多的知識即可掌握而且危害程度也更高，它們很少用于直接破壞設(shè)備固件，惡意軟件常通過這兩類漏洞潛伏在設(shè)備中進行長期的惡意活動，比如說惡意挖礦腳本。

這155款路由器中存在的漏洞，其中28%屬于高風險和關(guān)鍵(參見圖2)級別。平均每款路由器包含12個關(guān)鍵和36個高風險漏洞，而中等風險漏洞則高達103個。

圖2：漏洞分布

本次對設(shè)備和軟件安全性的測試非常簡單，然而結(jié)果卻非常嚴峻，家用路由器可謂非常脆弱，正在成為網(wǎng)絡(luò)攻擊的主要目標之一。

賽門鐵克發(fā)布的年度互聯(lián)網(wǎng)安全威脅報告顯示 ，2017 年物聯(lián)網(wǎng)攻擊增加了600% ，路由器是被攻擊次數(shù)最多的設(shè)備類型， 占33.6%。Cybersecurity Ventures發(fā)布的2017年度網(wǎng)絡(luò)犯罪報告中，預(yù)測物聯(lián)網(wǎng)設(shè)備將成為2018年的主要技術(shù)犯罪驅(qū)動因素，到2021年網(wǎng)絡(luò)犯罪將帶來6萬億美元的經(jīng)濟損失。

總結(jié)

研究結(jié)果表明，Wi-Fi路由器的安全性極其不受廠商和用戶的重視。簡單地重置路由器無法解決根本性的問題，修復(fù)漏洞帶來了成本也導(dǎo)致廠商不上心，但從長遠計廠商和用戶承擔的網(wǎng)絡(luò)風險成本其實更高。

附錄

測試的路由器型號：