多个品牌路由器存在"后门",赶紧看看你中奖了没
当你还像平常一样上网时,也许你并不知道,可能已有黑客通过你的路由器实现了电脑入侵。
这种情况下,不仅个人隐私无法得到保护,一些不法分子还可能藉此获利。
近日,国家互联网应急中心(CNCERT)发布报告指出,经国家信息安全漏洞共享平台(CNVD)分析验证,D-LINK、Cisco、Linksys、Netgear、Tenda等多家厂商的路由器产品存在“后门”,黑客可由此直接控制路由器,进一步发起DNS劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全,使得相关产品变成随时可被引爆的安全“地雷”。
“‘后门’是指路由器厂商预留的接口,漏洞是路由器产品的安全缺陷,两者都会对用户形成安全威胁。”360安全专家石晓虹博士在接受法治周末记者采访时表示。
金山毒霸反病毒工程师李铁军告诉法治周末记者,一些不法分子可以通过路由器的安全漏洞发起DNS劫持并强行弹出广告,或借此机会,通过“伪装”淘宝客(指帮助卖家推广商品获取佣金赚钱的人)等方式,骗取推广佣金。
据李铁军介绍,有关路由器安全漏洞或“后门”的事件,早在2013年下半年已比较多见。
不过,国家互联网应急中心的报告显示,虽然国家信息安全漏洞共享平台及时地向相关厂商通报威胁情况,向公众发布预警信息。但截至2014年1月底,仍有部分厂商尚未提供路由器安全解决方案或升级补丁。
拉响路由器安全警报
据石晓虹介绍,路由器厂商在开发阶段预留的调试接口(即“后门”),往往拥有很高权限,由此方便开发人员管理和控制路由器。
当路由器出厂时,如果厂商没有去除调试接口,消费者购买后就会一直存在此类“后门”。
在国家互联网应急中心提供给记者的一份《关于多款路由器设备存在预置后门漏洞的情况通报》(以下简称“漏洞通报”)中显示,近期国家信息安全漏洞共享平台对Cisco、Linksys、Netgear、Tenda、D-LINK等主流网络设备生产厂商的多款路由器产品进行分析,确认其存在预置后门漏洞。
漏洞通报分析称,国家信息安全漏洞共享平台对上述漏洞的评级均为“高危”,且像Netgear的多款路由器存在后门漏洞,该“后门”为厂商预设的超级用户和口令。D-LINK部分路由器使用的固件版本中也存在人为设置的后门漏洞。
石晓虹告诉法治周末记者,除“后门”外,一些路由器往往还存在CSRF漏洞(通俗称为“弱密码漏洞”,由于针对路由器的CSRF漏洞攻击只影响使用默认密码的用户),它也是目前影响用户最多、被黑客攻击最严重的路由器安全威胁。
石晓虹进一步解释道,由此可引发CSRF攻击,即黑客在一家网站植入攻击代码,当存在CSRF漏洞的路由器用户浏览这个网站时,攻击代码能够以路由器用户的身份去修改路由器DNS配置。
“路由器管理后台地址、管理账号和密码大多都是出厂默认的,路由器用户如果没有更换默认密码,黑客就可以用用户的身份向路由器管理后台发出修改DNS的指令。”石晓虹表示。
360去年10月底发布的《2013年第三季度家用无线路由器安全报告》(以下简称“360路由器安全报告”)中也显示,针对当时市面上主流的344款路由器进行检测分析发现,共有104个型号的路由器容易被常见的CSRF攻击,或DNS、DHCP等设置被篡改。
360路由器安全报告中称,其中TP-LINK被检出61个型号的产品容易遭到攻击和篡改,数量最多。
对此,TP-LINK在其官方微博上发布公告称,关于部分媒体提及的“路由器DNS劫持”问题,TP-LINK早已关注并解决了该问题。
TP-LINK一位负责人告诉法治周末记者,TP-LINK的产品并不存在人为预置“后门”的问题,而且现在的相关产品已经进行了更新,可以有效地防止CSRF的攻击。
路由器掘金产业链
国家互联网应急中心在报告中指出,以D-LINK部分路由器产品为例,攻击者利用“后门”,可取得路由器的完全控制权。
而取得路由器的完全控制权究竟意味着什么?
近日,网友@Evi1m0就晒出了自己测试如何攻下邻居家路由器的过程——获取WiFi密码,进入其电脑、手机,这一切用时还不到5分钟。
此外,360路由器安全报告还指出,从黑客攻击者篡改DNS设置的目的上看,49.5%的篡改是为了向用户推送色情网页和游戏广告;28%的篡改是为了将淘宝等电商网站劫持到付费推广页面,从而骗取推广佣金;还有22.5%的其他各类劫持,如将正规网站的访问请求劫持到钓鱼网站或木马网站。
该报告显示:去年7月,有大量网友反馈,打开游戏“英雄联盟盒子”后自动弹出色情网页。去年8月,有大量网友反馈,访问QQ空间,打开的却是假冒的《中国好声音》中奖页面。
李铁军还向法治周末记者还原了骗取广告佣金产业链的整个过程。
李铁军告诉法治周末记者,很多网店都会通过搜索引擎、网页广告或软件广告等方式进行推广。以淘宝网为例,一般情况下淘宝店主为了争取更多的流量与客户,就会与淘宝客合作,通过淘宝客的推广链接获得更好的推送效果。
据李铁军介绍,如果消费者通过点击这些推广链接进入某个网店,并在一定时间内在该网店进行消费,那么店家就会按照事先约定,将消费款中的一部分作为佣金支付给推广链接的提供者。
“不同的商品佣金价格也不一样,有些热销品的佣金甚至能达到5%到10%,”李铁军表示,“而用户如果只是通过普通方式即没有通过推广链接进入到网店并消费,店家则无需向任何人支付佣金。”
在李铁军看来,上述是正常的交易环节,而如果路由器的DNS遭到了恶意篡改,不法分子就将有可能“伪装”成淘宝客骗取广告佣金。
李铁军告诉法治周末记者,这种情况下,即使用户通过普通的途径打开网店,其访问请求也会被强制引导到某个推广链接上,之后再跳转到这家网店。
“用户本应该直接进入网店,现在却变成了通过推广链接打开的网店,店家因此还要向虚假的推广者支付本不该支付的佣金,这也无形中增加了淘宝店的成本,甚至店家也可能在成本压力下会转而升高产品价格,最终受伤害的还是广大消费者。”李铁军表示。
谁为安全风险埋单
李铁军告诉法治周末记者,路由器通常都有一个默认的出厂模式,以方便用户去配置,因此大多有一个非常简单的初始密码,一般都是admin。
TP-LINK的一位工作人员也坦言,目前路由器的安全隐患中,很大一部分是因为多数产品的登录名和密码都是默认的admin。
“用户在使用路由器的过程中,往往只注意设置WiFi密码,却忽视了修改路由器的密码,无形中就留下了很大的安全漏洞。”李铁军表示,“因此修改默认的路由器登录密码非常重要,消费者应该有安全防护意识。”
密码虽然可以修改,可路由器的“后门”问题却是消费者自身所难以解决甚至辨别的。
国家互联网应急中心的报告显示:国家信息安全漏洞共享平台分析发现,受其“后门”漏洞影响的D-LINK路由器在互联网上对应的IP地址就至少有1.2万个,影响着大量用户。
那么,如果因为路由器的“后门”原因给消费者造成了隐私泄露甚至个人财产上的损失,又该由谁来埋单呢?
北京市盛峰律师事务所主任律师、中国互联网协会政策与资源委员会专家于国富在接受法治周末记者采访时表示,新消法的一个重要亮点就是加强对消费者的个人信息保护,它明确规定消费者在购买使用商品和接受服务的过程中享有个人信息不受侵犯的权利,且经营者不得在提供商品和服务的过程中窃取或泄露公民的个人信息。
“产品质量法中也规定,如果某类产品有国家标准和行业标准,那么就应当符合相关标准;如果没有相关标准,也不该有质量缺陷。”于国富表示,“质量缺陷就是指产品危及人身安全或者重大财产安全,也包括个人信息与隐私等。”
于国富认为,如果路由器留有“后门”,肯定是有重大瑕疵与缺陷,其产品质量也是有问题的。
“此外,在工信部第24号令中更是明确规定,信息服务的经营者在服务过程中,如果要收集用户的个人信息,必须坚持知情同意的原则,而且要在必要、合理的范围之内。”于国富表示,并且经营者在这方面也无法通过免责条款和免责声明来规避责任,因为消法中还规定,如果用格式条款或免责声明方式来规避消费者的主要权利或经营者的主要责任,该条款即为无效。
不过李铁军坦言,以往的DNS劫持大多是通过木马病毒来实现的,如今通过路由器的DNS篡改不仅更加简单,而且更加难以被察觉。
“这里确实有一个举证责任的问题,尤其是涉及互联网的即时性行为,确实很难举证。”于国富表示,“举证难是一方面,但举证后要严厉依法处罚则是另一方面,不能因为举证难就放弃了管理与规范。”
于国富建议,相关行业协会和消费者维权组织可以主动介入监管和处理,如果一款路由器产品经过评测后发现存有“后门”,一方面要给消费者适当的警示,同时还要尽快向主管机关报告,甚至消费者协会都可以直接起诉涉事厂家。