現代差不多每個家庭都有使用路由器裝置,根據美國消費者協會的最新報告,大約市面上 83% 的家用和辦公室路由器都存在漏洞,能夠被黑客加以利用發動攻擊,大約四份一屬於高風險和嚴重漏洞,當中不乏大眾熟識的品牌。
開源編碼庫成保安漏洞原兇
美國消費者協會對13 家廠商的品牌共 186 台 Wi-Fi 路由器進行測試,當中包括大家熟識的 Linksys、Belkin、NETGEAR 和 D-Link,但都未能解決已知的安全漏洞,令用戶的裝置有機會被入侵,導致進行惡意活動、身份盜竊、欺詐或間諜活動。研究人員直接接出開源編碼庫是導致路由器韌體保安漏洞的主要原因,黑客瞄準像路由器這類硬件裝置是因為它們通常都被忽略,而且附帶的韌體並不頻繁更新,這亦是導致系統性保安問題的原因。
更新韌體責任在消費者
研究人員指出,堵塞漏洞的更新需要消費者安裝新韌體,另一方面,廠商通常不向消費者提供友善的更新韌體方法,甚至因為成本問題不在裝置上架設保安協定。美國消費者協會提議路由器廠商應該架設消費者的連絡圈,去提醒或甚至合法地進行韌體更新。現時有部份取得韌體更新前需要用戶登記他們的產品,有些更新並不隨時在網絡找到,甚至有部份舊路由器並不支援更新。
在被測試的 186 台路由器中,只有 17% 不存在已知的漏洞,平均每台裝置存在 172 個已知的漏洞,當中 7% 被分類為嚴重級別,21% 屬於高風險級別,60% 和 12% 為中等及低風險級別。
資料來源:Threat Post