當(dāng)你還像平常一樣上網(wǎng)時(shí),也許你并不知道,可能已有黑客通過你的路由器實(shí)現(xiàn)了電腦入侵。
這種情況下,不僅個(gè)人隱私無法得到保護(hù),一些不法分子還可能藉此獲利。
近日,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布報(bào)告指出,經(jīng)國家信息安全漏洞共享平臺(tái)(CNVD)分析驗(yàn)證,D-LINK、Cisco、Linksys、Netgear、Tenda等多家廠商的路由器產(chǎn)品存在“后門”,黑客可由此直接控制路由器,進(jìn)一步發(fā)起DNS劫持、竊取信息、網(wǎng)絡(luò)釣魚等攻擊,直接威脅用戶網(wǎng)上交易和數(shù)據(jù)存儲(chǔ)安全,使得相關(guān)產(chǎn)品變成隨時(shí)可被引爆的安全“地雷”。
“‘后門’是指路由器廠商預(yù)留的接口,漏洞是路由器產(chǎn)品的安全缺陷,兩者都會(huì)對(duì)用戶形成安全威脅。”360安全專家石曉虹博士在接受法治周末記者采訪時(shí)表示。
金山毒霸反病毒工程師李鐵軍告訴法治周末記者,一些不法分子可以通過路由器的安全漏洞發(fā)起DNS劫持并強(qiáng)行彈出廣告,或借此機(jī)會(huì),通過“偽裝”淘寶客(指幫助賣家推廣商品獲取傭金賺錢的人)等方式,騙取推廣傭金。
據(jù)李鐵軍介紹,有關(guān)路由器安全漏洞或“后門”的事件,早在2013年下半年已比較多見。
不過,國家互聯(lián)網(wǎng)應(yīng)急中心的報(bào)告顯示,雖然國家信息安全漏洞共享平臺(tái)及時(shí)地向相關(guān)廠商通報(bào)威脅情況,向公眾發(fā)布預(yù)警信息。但截至2014年1月底,仍有部分廠商尚未提供路由器安全解決方案或升級(jí)補(bǔ)丁。
拉響路由器安全警報(bào)
據(jù)石曉虹介紹,路由器廠商在開發(fā)階段預(yù)留的調(diào)試接口(即“后門”),往往擁有很高權(quán)限,由此方便開發(fā)人員管理和控制路由器。
當(dāng)路由器出廠時(shí),如果廠商沒有去除調(diào)試接口,消費(fèi)者購買后就會(huì)一直存在此類“后門”。
在國家互聯(lián)網(wǎng)應(yīng)急中心提供給記者的一份《關(guān)于多款路由器設(shè)備存在預(yù)置后門漏洞的情況通報(bào)》(以下簡稱“漏洞通報(bào)”)中顯示,近期國家信息安全漏洞共享平臺(tái)對(duì)Cisco、Linksys、Netgear、Tenda、D-LINK等主流網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商的多款路由器產(chǎn)品進(jìn)行分析,確認(rèn)其存在預(yù)置后門漏洞。
漏洞通報(bào)分析稱,國家信息安全漏洞共享平臺(tái)對(duì)上述漏洞的評(píng)級(jí)均為“高危”,且像Netgear的多款路由器存在后門漏洞,該“后門”為廠商預(yù)設(shè)的超級(jí)用戶和口令。D-LINK部分路由器使用的固件版本中也存在人為設(shè)置的后門漏洞。
石曉虹告訴法治周末記者,除“后門”外,一些路由器往往還存在CSRF漏洞(通俗稱為“弱密碼漏洞”,由于針對(duì)路由器的CSRF漏洞攻擊只影響使用默認(rèn)密碼的用戶),它也是目前影響用戶最多、被黑客攻擊最嚴(yán)重的路由器安全威脅。
石曉虹進(jìn)一步解釋道,由此可引發(fā)CSRF攻擊,即黑客在一家網(wǎng)站植入攻擊代碼,當(dāng)存在CSRF漏洞的路由器用戶瀏覽這個(gè)網(wǎng)站時(shí),攻擊代碼能夠以路由器用戶的身份去修改路由器DNS配置。
“路由器管理后臺(tái)地址、管理賬號(hào)和密碼大多都是出廠默認(rèn)的,路由器用戶如果沒有更換默認(rèn)密碼,黑客就可以用用戶的身份向路由器管理后臺(tái)發(fā)出修改DNS的指令。”石曉虹表示。
360去年10月底發(fā)布的《2013年第三季度家用無線路由器安全報(bào)告》(以下簡稱“360路由器安全報(bào)告”)中也顯示,針對(duì)當(dāng)時(shí)市面上主流的344款路由器進(jìn)行檢測分析發(fā)現(xiàn),共有104個(gè)型號(hào)的路由器容易被常見的CSRF攻擊,或DNS、DHCP等設(shè)置被篡改。
360路由器安全報(bào)告中稱,其中TP-LINK被檢出61個(gè)型號(hào)的產(chǎn)品容易遭到攻擊和篡改,數(shù)量最多。
對(duì)此,TP-LINK在其官方微博上發(fā)布公告稱,關(guān)于部分媒體提及的“路由器DNS劫持”問題,TP-LINK早已關(guān)注并解決了該問題。
TP-LINK一位負(fù)責(zé)人告訴法治周末記者,TP-LINK的產(chǎn)品并不存在人為預(yù)置“后門”的問題,而且現(xiàn)在的相關(guān)產(chǎn)品已經(jīng)進(jìn)行了更新,可以有效地防止CSRF的攻擊。
路由器掘金產(chǎn)業(yè)鏈
國家互聯(lián)網(wǎng)應(yīng)急中心在報(bào)告中指出,以D-LINK部分路由器產(chǎn)品為例,攻擊者利用“后門”,可取得路由器的完全控制權(quán)。
而取得路由器的完全控制權(quán)究竟意味著什么?
近日,網(wǎng)友@Evi1m0就曬出了自己測試如何攻下鄰居家路由器的過程——獲取WiFi密碼,進(jìn)入其電腦、手機(jī),這一切用時(shí)還不到5分鐘。
此外,360路由器安全報(bào)告還指出,從黑客攻擊者篡改DNS設(shè)置的目的上看,49.5%的篡改是為了向用戶推送色情網(wǎng)頁和游戲廣告;28%的篡改是為了將淘寶等電商網(wǎng)站劫持到付費(fèi)推廣頁面,從而騙取推廣傭金;還有22.5%的其他各類劫持,如將正規(guī)網(wǎng)站的訪問請(qǐng)求劫持到釣魚網(wǎng)站或木馬網(wǎng)站。
該報(bào)告顯示:去年7月,有大量網(wǎng)友反饋,打開游戲“英雄聯(lián)盟盒子”后自動(dòng)彈出色情網(wǎng)頁。去年8月,有大量網(wǎng)友反饋,訪問QQ空間,打開的卻是假冒的《中國好聲音》中獎(jiǎng)頁面。
李鐵軍還向法治周末記者還原了騙取廣告?zhèn)蚪甬a(chǎn)業(yè)鏈的整個(gè)過程。
李鐵軍告訴法治周末記者,很多網(wǎng)店都會(huì)通過搜索引擎、網(wǎng)頁廣告或軟件廣告等方式進(jìn)行推廣。以淘寶網(wǎng)為例,一般情況下淘寶店主為了爭取更多的流量與客戶,就會(huì)與淘寶客合作,通過淘寶客的推廣鏈接獲得更好的推送效果。
據(jù)李鐵軍介紹,如果消費(fèi)者通過點(diǎn)擊這些推廣鏈接進(jìn)入某個(gè)網(wǎng)店,并在一定時(shí)間內(nèi)在該網(wǎng)店進(jìn)行消費(fèi),那么店家就會(huì)按照事先約定,將消費(fèi)款中的一部分作為傭金支付給推廣鏈接的提供者。
“不同的商品傭金價(jià)格也不一樣,有些熱銷品的傭金甚至能達(dá)到5%到10%,”李鐵軍表示,“而用戶如果只是通過普通方式即沒有通過推廣鏈接進(jìn)入到網(wǎng)店并消費(fèi),店家則無需向任何人支付傭金。”
在李鐵軍看來,上述是正常的交易環(huán)節(jié),而如果路由器的DNS遭到了惡意篡改,不法分子就將有可能“偽裝”成淘寶客騙取廣告?zhèn)蚪稹?/p>
李鐵軍告訴法治周末記者,這種情況下,即使用戶通過普通的途徑打開網(wǎng)店,其訪問請(qǐng)求也會(huì)被強(qiáng)制引導(dǎo)到某個(gè)推廣鏈接上,之后再跳轉(zhuǎn)到這家網(wǎng)店。
“用戶本應(yīng)該直接進(jìn)入網(wǎng)店,現(xiàn)在卻變成了通過推廣鏈接打開的網(wǎng)店,店家因此還要向虛假的推廣者支付本不該支付的傭金,這也無形中增加了淘寶店的成本,甚至店家也可能在成本壓力下會(huì)轉(zhuǎn)而升高產(chǎn)品價(jià)格,最終受傷害的還是廣大消費(fèi)者。”李鐵軍表示。
誰為安全風(fēng)險(xiǎn)埋單
李鐵軍告訴法治周末記者,路由器通常都有一個(gè)默認(rèn)的出廠模式,以方便用戶去配置,因此大多有一個(gè)非常簡單的初始密碼,一般都是admin。
TP-LINK的一位工作人員也坦言,目前路由器的安全隱患中,很大一部分是因?yàn)槎鄶?shù)產(chǎn)品的登錄名和密碼都是默認(rèn)的admin。
“用戶在使用路由器的過程中,往往只注意設(shè)置WiFi密碼,卻忽視了修改路由器的密碼,無形中就留下了很大的安全漏洞。”李鐵軍表示,“因此修改默認(rèn)的路由器登錄密碼非常重要,消費(fèi)者應(yīng)該有安全防護(hù)意識(shí)。”
密碼雖然可以修改,可路由器的“后門”問題卻是消費(fèi)者自身所難以解決甚至辨別的。
國家互聯(lián)網(wǎng)應(yīng)急中心的報(bào)告顯示:國家信息安全漏洞共享平臺(tái)分析發(fā)現(xiàn),受其“后門”漏洞影響的D-LINK路由器在互聯(lián)網(wǎng)上對(duì)應(yīng)的IP地址就至少有1.2萬個(gè),影響著大量用戶。
那么,如果因?yàn)槁酚善鞯?ldquo;后門”原因給消費(fèi)者造成了隱私泄露甚至個(gè)人財(cái)產(chǎn)上的損失,又該由誰來埋單呢?
北京市盛峰律師事務(wù)所主任律師、中國互聯(lián)網(wǎng)協(xié)會(huì)政策與資源委員會(huì)專家于國富在接受法治周末記者采訪時(shí)表示,新消法的一個(gè)重要亮點(diǎn)就是加強(qiáng)對(duì)消費(fèi)者的個(gè)人信息保護(hù),它明確規(guī)定消費(fèi)者在購買使用商品和接受服務(wù)的過程中享有個(gè)人信息不受侵犯的權(quán)利,且經(jīng)營者不得在提供商品和服務(wù)的過程中竊取或泄露公民的個(gè)人信息。
“產(chǎn)品質(zhì)量法中也規(guī)定,如果某類產(chǎn)品有國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),那么就應(yīng)當(dāng)符合相關(guān)標(biāo)準(zhǔn);如果沒有相關(guān)標(biāo)準(zhǔn),也不該有質(zhì)量缺陷。”于國富表示,“質(zhì)量缺陷就是指產(chǎn)品危及人身安全或者重大財(cái)產(chǎn)安全,也包括個(gè)人信息與隱私等。”
于國富認(rèn)為,如果路由器留有“后門”,肯定是有重大瑕疵與缺陷,其產(chǎn)品質(zhì)量也是有問題的。
“此外,在工信部第24號(hào)令中更是明確規(guī)定,信息服務(wù)的經(jīng)營者在服務(wù)過程中,如果要收集用戶的個(gè)人信息,必須堅(jiān)持知情同意的原則,而且要在必要、合理的范圍之內(nèi)。”于國富表示,并且經(jīng)營者在這方面也無法通過免責(zé)條款和免責(zé)聲明來規(guī)避責(zé)任,因?yàn)橄ㄖ羞€規(guī)定,如果用格式條款或免責(zé)聲明方式來規(guī)避消費(fèi)者的主要權(quán)利或經(jīng)營者的主要責(zé)任,該條款即為無效。
不過李鐵軍坦言,以往的DNS劫持大多是通過木馬病毒來實(shí)現(xiàn)的,如今通過路由器的DNS篡改不僅更加簡單,而且更加難以被察覺。
“這里確實(shí)有一個(gè)舉證責(zé)任的問題,尤其是涉及互聯(lián)網(wǎng)的即時(shí)性行為,確實(shí)很難舉證。”于國富表示,“舉證難是一方面,但舉證后要嚴(yán)厲依法處罰則是另一方面,不能因?yàn)榕e證難就放棄了管理與規(guī)范。”
于國富建議,相關(guān)行業(yè)協(xié)會(huì)和消費(fèi)者維權(quán)組織可以主動(dòng)介入監(jiān)管和處理,如果一款路由器產(chǎn)品經(jīng)過評(píng)測后發(fā)現(xiàn)存有“后門”,一方面要給消費(fèi)者適當(dāng)?shù)木荆瑫r(shí)還要盡快向主管機(jī)關(guān)報(bào)告,甚至消費(fèi)者協(xié)會(huì)都可以直接起訴涉事廠家。
京公網(wǎng)安備 11010502049343號(hào)