“如果路由器被人蹭網,他會不會威脅到我?如果路由器被惡意的陌生人連接后,他們能做什么?”近日,知乎網上的這道問題引來了1833人的關注。
3月16日,網友“Evi1m0”在知乎網上爆料了如何攻下隔壁“女神”的路由器,并黑進其電腦、手機的過程。這場“實戰”也在網上引發了一場人們關于路由器安全問題的討論。
實驗一
密碼會否攻破?
記者聯系上了網友“Evi1m0”,劉彥碩,FF0000 TeAm創始人,目前就職于北京知道創宇信息技術有限公司,他通過QQ對話和實時截圖的方式向記者還原了整個攻破過程。
“首先找對入口,也就是對方的Wi-Fi。”打開無線信號后,劉彥碩用了一款基于linux操作系統的破解工具,在導入密碼字典之后,開始進行破解。他告訴記者,破解密碼的門檻很低,使用的軟件和密碼字典從網上就能下載到。
5分鐘之后,他就成功破解了無線密碼,連接到了對方的路由器,在進入路由器的WEB管理界面后,查看到了連接該網絡的所有設備。
“對方登陸錄何網站,我都能同時登入。其一舉一動,我全部能看到。”劉彥碩告訴記者,雖然無法看到對方的賬號、密碼,但是他能劫持已登錄的賬戶。
實驗結果:成功破解密碼,侵入路由器。
實驗二
能看到隱私嗎?
按照劉彥碩的方法,記者用一部刷機后的安卓手機對一臺筆記本電腦進行了監聽實驗。
記者首先將預裝了某黑客軟件的手機和一臺系統正常的筆記本電腦連接上同一無線網絡。打開手機上的黑客軟件后,連接該無線網絡的所有設備均在手機上顯示。
記者選擇了筆記本電腦對其進行流量監聽。在監聽過程中,筆記本電腦上打開的任何網頁,在手機上都有顯示。選擇顯示為“weibo”的網頁進行會話劫持后,無需任何賬號、密碼,手機就自動登錄到了網頁版微博個人賬戶,并且可以自由發布和刪改個人信息。
劉彥碩說,“這還只是簡單的劫持,可怕的事在后面,隨著監聽深入,個人隱私就會一層一層的曝光。”
實驗結果:成功登上對方的微博。
后果分析
電視能被控制
銀行資金也不安全
在那場“實戰”中,劉彥碩通過將個性化域名地址和獲取到信息加以組合,不僅得到了女神的手機號碼、照片,微博、微信、QQ號、人人網賬號等,還能通過已連接無線路由器的影視盒子,控制對方的電視。
除了個人隱私被窺探,360安全專家石曉虹博士在接受記者采訪時也表示,黑客還可以惡意篡改路由器DNS。“這意味著用戶訪問的銀行官網地址,有可能是人為制作的虛假的釣魚網站,盜取銀行賬號、密碼。”
據360互聯網安全中心的檢測數據顯示,在最近的一周時間內,360安全衛士“家庭網絡管理”功能的使用量達到914萬次,修復被黑客篡改DNS的路由器46.8萬臺,占檢測總量的5.1%。
盡管如此,路由器的安全問題仍常被廣大用戶忽視。
安全提醒
路由器 如何防破解
那么,平日生活中,市民該如何防范日益嚴重的路由器劫持安全問題呢?360互聯網安全中心的專家和網友“Evi1m0”向大家支招如下:
1、在設置家用路由器的無線密碼時,選擇WPA2方式,密碼設置得越復雜,黑客破解的難度就會高。2、路由器管理網頁登錄賬戶、密碼,不要使用默認的admin,可改為字母加數字的高強度密碼。3、在設備中安裝具有ARP局域網防護功能的安全軟件,防止被黑客蹭網劫持。4、常登錄路由器管理后臺,看看有沒有不認識的設備連入了Wi-Fi,如果有,及時將其清除。5、不要隨便告訴不可信人員你的無線密碼。6、移動設備不要“越獄”或ROOT,連接來路不明的無線網絡。
京公網安備 11010502049343號