現在,百度、小米、奇虎360、迅雷、華為乃至海爾等等各大公司紛紛推出智能路由器,搶占火熱的智能家居、智慧家庭入口。路由器是家庭用戶進入互聯網的關鍵入口,各大公司“出兵”該陣地自然是想贏得用戶、變現流量,布局智能家居市場,是看中了它在未來智能生活中的重要作用。但是,智能路由器的關鍵作用能否發揮,還得看看它是否是經得起安全推敲的產品。
路由器基本安全問題無關智能
智能路由器的本質還是路由器,在安全隱患上仍有著傳統路由器不能避免的安全問題。
相比傳統路由器,智能路由器有操作系統,提供強大的網絡管理功能,支持第三方應用擴展等。用戶可自行安裝各種互聯網應用,比如翻墻、云打印、離線下載、廣告過濾和音樂盒等互聯網功能,還能自行控制帶寬、在線人數和在線時間。有的還具備超大容量存儲功能,相當于一個超級大硬盤。
騰訊手機管家安全專家陸兆華告訴《中國電子報》記者,這個超級大硬盤,可以是存儲家庭照片、視頻等隱私文件的數據儲存器,也可以是統一管理家庭智能設備最重要的控制樞紐,比如控制家庭攝像頭、電視、電燈、空調、冰箱等設備的總開關,相當于家庭的微型服務器,也極有可能演變成家庭數據中心。
既然是家庭數據中心,那么就有可能存儲大量家庭數據、個人數據,涉及大量隱私信息。把好家庭入口,其重要性不言而喻。知道創宇安全研究負責人余弦接受《中國電子報》記者采訪時表示,智能路由器的本質還是路由器,在安全隱患上仍有著傳統路由器不能避免的安全問題。例如路由器使用的WiFi通信協議本身有缺陷,可能會被暴力破解,WiFi密碼被竊。在局域網內,黑客會發起抓包攻擊,得到局域內上網用戶的隱私。他認為雖然現在使用的協議比早先的安全性要強一些,但是如果WiFi密碼簡單,被黑客暴力破解的可能性仍很大。
陸兆華也表達了類似的觀點。他說:“智能路由器在短期內也還具備著普通路由器的大部分功能,相關的DNS劫持、竊取信息、網絡釣魚等攻擊,在短期內還是會直接威脅用戶網上交易和數據存儲安全。”
Web管理控制后臺非常關鍵
目前智能路由器的安全薄弱環節,重點不是操作系統的安全防護,而是web管理控制后臺。
“蹭網”是路由器最常見的安全隱患,但是智能路由器在這方面恰恰是有安全優勢的。余弦表示,智能路由器能將安全體驗做得更好,如果有人想“蹭網”,當WiFi密碼正遭受破解攻擊時,路由器控制系統就會給用戶發出提醒窗口或短信消息,及時給出安全警告。在這方面,360副總裁沈海寅告訴《中國電子報》記者,360的安全路由就有WiFi密碼防暴力破解、防蹭網入侵的安全功能。
雖然智能路由器能屏蔽一些傳統路由器的安全隱患,但是其智能的特性也同時能帶來破壞性更強大的安全威脅。陸兆華告訴《中國電子報》記者,如果路由器自身的軟件存有漏洞后門,很可能會成為黑客最直接攻擊的對象。一旦被黑客攻陷,用戶通過智能路由器連接上網的全部設備比如智能手機、智能電視、智能家居設備等等都可能會遭到監視或者遠程控制,很可能會導致家庭設備的管理混亂。
工信部電信研究院信息通信安全研究所副主任卜哲接受《中國電子報》記者采訪時指出,智能路由器采用的操作系統屬于Linux類操作系統,這些系統環境本身就存在安全隱患,而且對此類系統開展安全防護過程中,安全策略及實施有一定的專業性、復雜性、靈活性,普通用戶極易將這臺不設防的主機(及智能路由器)直接部署在相對危險的公共互聯網上。同時智能路由器的操作系統通常基于開源代碼進行定制開發或二次封裝,并將一些API接口開放給用戶。這個過程同樣也會將新的安全風險引入智能路由器。
卜哲表示,開發或封裝中構建、實現完善有效的安全機制是一個系統性工作,始終是一個任務艱巨的安全挑戰。有種觀點認為,google公司對linux內核封裝而成的android操作系統由于在權限管理、代碼可逆等環節的不完善,直接導致了android手機惡意代碼泛濫,影響了移動互聯網用戶的安全。
不過,在余弦看來,現階段的智能路由器的安全薄弱環節重點還不是操作系統的安全防護,而是web管理控制后臺。這個后臺比傳統路由器更強大,功能更加豐富,甚至允許用戶制定一些擴展和插件。如果黑客控制了后臺,是可以利用后臺的功能鍵進行深度攻擊、擴大攻擊面的,這也是智能路由器面臨的特有問題。“越智能的系統,漏洞越多,黑客的破壞力會越強大。”他說。
現在還算不上真正“智能”
做好智能路由器用戶端的安全防護必然有一個過程,需要用戶、設備提供商、網絡運營商共同努力。
目前智能路由器還處于發展的初期,被公開報道出來的安全事件幾乎沒有。在陸兆華看來,目前預見性的安全問題還沒有真正開始影響到用戶的生活,但是將來隨著智能設備應用場景的不斷發展,安全問題會不斷增加。
事實上,余弦認為,現階段的智能路由器還算不上真正的“智能”,其操作系統是由廠家深度定制的,同時嵌入了一些定制的安全防護功能,只是讓用戶的上網體驗更好一些而已。陸兆華也指出,目前許多企業并沒有投入到智能路由器的安全開發中來。所以,不同廠家的智能路由器的安全性差異也比較大。
智能路由器的安全保障,需要供需多方的積極參與。陸兆華認為,智能設備開發商需要遵循安全開發規范,并及時升級更新系統軟件保證安全;而安全廠商需要開發行之有效的安全解決方案;用戶則需要建立全面的隱私保護安全意識,避免儲存敏感的信息、敏感智能設備的直接聯網,必要時關閉設備的電源等等。
而卜哲認為,增強用戶的安全意識十分必要,也是一切的基礎。做好智能路由器的用戶端的安全防護必然有一個過程,需要用戶、設備提供商、網絡運營商共同努力。
微觀點
@音繞宇:我還是盡量用計算機通過有線路由器上網,這樣就不會有無線數據被截獲了,相對來說要安全得多!
@云盤粉絲團008:路由器的漏洞其實蠻多的!智能路由應該解決這問題,先要安全,才能考慮速度之類的東西!
@Go_To_Max:很多家庭和中小型企業使用百元左右的無線路由器,用起來簡單又不占空間,但是安全問題較多,除了安全控管功能較弱之外,無線安全的密鑰很容易被暴力破解,系統本身的安全情況更是嚴重。
京公網安備 11010502049343號