安全技术厂商 Independent Security Evaluators (以下简称“ISE”)研究人员杰克·霍尔科姆(Jake Holcomb)在 Defcon 21 黑客会议上表示,更多主流品牌无线路由器被发现存在缺陷,而且没有得到修正。 霍尔科姆说,无线路由器的安全问题比 ISE 4 月份发布的报告要严重。最新的研究显示,无线路由器“极其容易受到攻击。不能保护用户网络和数字资产的安全”。 霍尔科姆及其同事在报告中披露了 56 处新的安全缺陷,其中包括华硕、D-Link 和 TrendNet 等主流品牌。也许有些用户抱有侥幸心理,认为自己未必会受到影响。但霍尔科姆解释说,因为大多数路由器存在缺陷,而且很难修正,几乎所有使用路由器的用户 都面临遭到攻击的风险。 通常情况下,小型企业和家庭用户设置的路由器密码强度都比较低,或者在多个场所使用相同的密码,使黑客有可乘之机。霍尔科姆对修正路由器和传统 PC 的缺陷进行了比较,“大多数情况下,Windows 和 Mac 支持自动更新。即使路由器支持自动更新,也很少有用户使用。” 因为人们都认为路由器是一种“一劳永逸”型的产品,不存在安全缺陷。让用户对路由器固件升级几乎是不可能的。 对路由器升级并非易事。霍尔科姆说,“我认为使路由器自动升级是一种解决方案,可以让用户选择不对路由器进行升级。”但是,由于主流路由器厂商对此态度消极,因此未来数年这一问题可能得不到解决。 霍尔科姆说,普联 TP-Link 修正了 ISE 通报的所有安全缺陷,但部分厂商并未做到这一点。他指出,在公开缺陷信息前,ISE 会向相关厂商通报信息,使厂商有时间修正缺陷。 |
