當(dāng)你還像平常一樣上網(wǎng)時���,也許你并不知道����,可能已有黑客通過你的路由器實現(xiàn)了電腦入侵��。
這種情況下,不僅個人隱私無法得到保護(hù)�����,一些不法分子還可能藉此獲利。
近日�,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布報告指出,經(jīng)國家信息安全漏洞共享平臺(CNVD)分析驗證����,D-LINK�����、Cisco、Linksys�、Netgear��、Tenda等多家廠商的路由器產(chǎn)品存在“后門”,黑客可由此直接控制路由器��,進(jìn)一步發(fā)起DNS劫持��、竊取信息���、網(wǎng)絡(luò)釣魚等攻擊��,直接威脅用戶網(wǎng)上交易和數(shù)據(jù)存儲安全,使得相關(guān)產(chǎn)品變成隨時可被引爆的安全“地雷”�����。
“‘后門’是指路由器廠商預(yù)留的接口��,漏洞是路由器產(chǎn)品的安全缺陷���,兩者都會對用戶形成安全威脅�。”360安全專家石曉虹博士在接受法治周末記者采訪時表示���。
金山毒霸反病毒工程師李鐵軍告訴法治周末記者��,一些不法分子可以通過路由器的安全漏洞發(fā)起DNS劫持并強(qiáng)行彈出廣告��,或借此機(jī)會�,通過“偽裝”淘寶客(指幫助賣家推廣商品獲取傭金賺錢的人)等方式,騙取推廣傭金。
據(jù)李鐵軍介紹����,有關(guān)路由器安全漏洞或“后門”的事件�����,早在2013年下半年已比較多見。
不過���,國家互聯(lián)網(wǎng)應(yīng)急中心的報告顯示,雖然國家信息安全漏洞共享平臺及時地向相關(guān)廠商通報威脅情況���,向公眾發(fā)布預(yù)警信息。但截至2014年1月底,仍有部分廠商尚未提供路由器安全解決方案或升級補(bǔ)丁。
拉響路由器安全警報
據(jù)石曉虹介紹�����,路由器廠商在開發(fā)階段預(yù)留的調(diào)試接口(即“后門”)�,往往擁有很高權(quán)限,由此方便開發(fā)人員管理和控制路由器。
當(dāng)路由器出廠時,如果廠商沒有去除調(diào)試接口���,消費者購買后就會一直存在此類“后門”。
在國家互聯(lián)網(wǎng)應(yīng)急中心提供給記者的一份《關(guān)于多款路由器設(shè)備存在預(yù)置后門漏洞的情況通報》(以下簡稱“漏洞通報”)中顯示,近期國家信息安全漏洞共享平臺對Cisco��、Linksys�、Netgear、Tenda、D-LINK等主流網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商的多款路由器產(chǎn)品進(jìn)行分析,確認(rèn)其存在預(yù)置后門漏洞。
漏洞通報分析稱����,國家信息安全漏洞共享平臺對上述漏洞的評級均為“高危”�,且像Netgear的多款路由器存在后門漏洞���,該“后門”為廠商預(yù)設(shè)的超級用戶和口令���。D-LINK部分路由器使用的固件版本中也存在人為設(shè)置的后門漏洞�����。
石曉虹告訴法治周末記者,除“后門”外�,一些路由器往往還存在CSRF漏洞(通俗稱為“弱密碼漏洞”�����,由于針對路由器的CSRF漏洞攻擊只影響使用默認(rèn)密碼的用戶)�����,它也是目前影響用戶最多、被黑客攻擊最嚴(yán)重的路由器安全威脅。
石曉虹進(jìn)一步解釋道,由此可引發(fā)CSRF攻擊�,即黑客在一家網(wǎng)站植入攻擊代碼��,當(dāng)存在CSRF漏洞的路由器用戶瀏覽這個網(wǎng)站時,攻擊代碼能夠以路由器用戶的身份去修改路由器DNS配置。
“路由器管理后臺地址����、管理賬號和密碼大多都是出廠默認(rèn)的���,路由器用戶如果沒有更換默認(rèn)密碼��,黑客就可以用用戶的身份向路由器管理后臺發(fā)出修改DNS的指令。”石曉虹表示。
360去年10月底發(fā)布的《2013年第三季度家用無線路由器安全報告》(以下簡稱“360路由器安全報告”)中也顯示,針對當(dāng)時市面上主流的344款路由器進(jìn)行檢測分析發(fā)現(xiàn),共有104個型號的路由器容易被常見的CSRF攻擊���,或DNS、DHCP等設(shè)置被篡改。
360路由器安全報告中稱,其中TP-LINK被檢出61個型號的產(chǎn)品容易遭到攻擊和篡改�����,數(shù)量最多�。
對此,TP-LINK在其官方微博上發(fā)布公告稱�����,關(guān)于部分媒體提及的“路由器DNS劫持”問題����,TP-LINK早已關(guān)注并解決了該問題��。
TP-LINK一位負(fù)責(zé)人告訴法治周末記者��,TP-LINK的產(chǎn)品并不存在人為預(yù)置“后門”的問題,而且現(xiàn)在的相關(guān)產(chǎn)品已經(jīng)進(jìn)行了更新�����,可以有效地防止CSRF的攻擊��。
路由器掘金產(chǎn)業(yè)鏈
國家互聯(lián)網(wǎng)應(yīng)急中心在報告中指出����,以D-LINK部分路由器產(chǎn)品為例�,攻擊者利用“后門”,可取得路由器的完全控制權(quán)�����。
而取得路由器的完全控制權(quán)究竟意味著什么��?
近日����,網(wǎng)友@Evi1m0就曬出了自己測試如何攻下鄰居家路由器的過程——獲取WiFi密碼����,進(jìn)入其電腦、手機(jī)�����,這一切用時還不到5分鐘��。
此外,360路由器安全報告還指出���,從黑客攻擊者篡改DNS設(shè)置的目的上看,49.5%的篡改是為了向用戶推送色情網(wǎng)頁和游戲廣告�;28%的篡改是為了將淘寶等電商網(wǎng)站劫持到付費推廣頁面���,從而騙取推廣傭金�����;還有22.5%的其他各類劫持��,如將正規(guī)網(wǎng)站的訪問請求劫持到釣魚網(wǎng)站或木馬網(wǎng)站。
該報告顯示:去年7月�����,有大量網(wǎng)友反饋�����,打開游戲“英雄聯(lián)盟盒子”后自動彈出色情網(wǎng)頁�����。去年8月,有大量網(wǎng)友反饋�,訪問QQ空間�����,打開的卻是假冒的《中國好聲音》中獎頁面���。
李鐵軍還向法治周末記者還原了騙取廣告?zhèn)蚪甬a(chǎn)業(yè)鏈的整個過程��。
李鐵軍告訴法治周末記者�����,很多網(wǎng)店都會通過搜索引擎、網(wǎng)頁廣告或軟件廣告等方式進(jìn)行推廣。以淘寶網(wǎng)為例���,一般情況下淘寶店主為了爭取更多的流量與客戶,就會與淘寶客合作,通過淘寶客的推廣鏈接獲得更好的推送效果。
據(jù)李鐵軍介紹��,如果消費者通過點擊這些推廣鏈接進(jìn)入某個網(wǎng)店����,并在一定時間內(nèi)在該網(wǎng)店進(jìn)行消費,那么店家就會按照事先約定,將消費款中的一部分作為傭金支付給推廣鏈接的提供者。
“不同的商品傭金價格也不一樣,有些熱銷品的傭金甚至能達(dá)到5%到10%���,”李鐵軍表示,“而用戶如果只是通過普通方式即沒有通過推廣鏈接進(jìn)入到網(wǎng)店并消費,店家則無需向任何人支付傭金����。”
在李鐵軍看來��,上述是正常的交易環(huán)節(jié),而如果路由器的DNS遭到了惡意篡改,不法分子就將有可能“偽裝”成淘寶客騙取廣告?zhèn)蚪稹?/p>
李鐵軍告訴法治周末記者����,這種情況下�����,即使用戶通過普通的途徑打開網(wǎng)店,其訪問請求也會被強(qiáng)制引導(dǎo)到某個推廣鏈接上,之后再跳轉(zhuǎn)到這家網(wǎng)店����。
“用戶本應(yīng)該直接進(jìn)入網(wǎng)店,現(xiàn)在卻變成了通過推廣鏈接打開的網(wǎng)店�,店家因此還要向虛假的推廣者支付本不該支付的傭金��,這也無形中增加了淘寶店的成本,甚至店家也可能在成本壓力下會轉(zhuǎn)而升高產(chǎn)品價格�����,最終受傷害的還是廣大消費者���。”李鐵軍表示���。
誰為安全風(fēng)險埋單
李鐵軍告訴法治周末記者���,路由器通常都有一個默認(rèn)的出廠模式,以方便用戶去配置�����,因此大多有一個非常簡單的初始密碼��,一般都是admin��。
TP-LINK的一位工作人員也坦言,目前路由器的安全隱患中,很大一部分是因為多數(shù)產(chǎn)品的登錄名和密碼都是默認(rèn)的admin�����。
“用戶在使用路由器的過程中��,往往只注意設(shè)置WiFi密碼��,卻忽視了修改路由器的密碼,無形中就留下了很大的安全漏洞。”李鐵軍表示��,“因此修改默認(rèn)的路由器登錄密碼非常重要�,消費者應(yīng)該有安全防護(hù)意識�����。”
密碼雖然可以修改�����,可路由器的“后門”問題卻是消費者自身所難以解決甚至辨別的。
國家互聯(lián)網(wǎng)應(yīng)急中心的報告顯示:國家信息安全漏洞共享平臺分析發(fā)現(xiàn)���,受其“后門”漏洞影響的D-LINK路由器在互聯(lián)網(wǎng)上對應(yīng)的IP地址就至少有1.2萬個,影響著大量用戶�����。
那么����,如果因為路由器的“后門”原因給消費者造成了隱私泄露甚至個人財產(chǎn)上的損失,又該由誰來埋單呢��?
北京市盛峰律師事務(wù)所主任律師��、中國互聯(lián)網(wǎng)協(xié)會政策與資源委員會專家于國富在接受法治周末記者采訪時表示���,新消法的一個重要亮點就是加強(qiáng)對消費者的個人信息保護(hù)�,它明確規(guī)定消費者在購買使用商品和接受服務(wù)的過程中享有個人信息不受侵犯的權(quán)利��,且經(jīng)營者不得在提供商品和服務(wù)的過程中竊取或泄露公民的個人信息����。
“產(chǎn)品質(zhì)量法中也規(guī)定����,如果某類產(chǎn)品有國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)��,那么就應(yīng)當(dāng)符合相關(guān)標(biāo)準(zhǔn)�����;如果沒有相關(guān)標(biāo)準(zhǔn),也不該有質(zhì)量缺陷。”于國富表示��,“質(zhì)量缺陷就是指產(chǎn)品危及人身安全或者重大財產(chǎn)安全�,也包括個人信息與隱私等。”
于國富認(rèn)為,如果路由器留有“后門”�,肯定是有重大瑕疵與缺陷����,其產(chǎn)品質(zhì)量也是有問題的��。
“此外���,在工信部第24號令中更是明確規(guī)定���,信息服務(wù)的經(jīng)營者在服務(wù)過程中�,如果要收集用戶的個人信息,必須堅持知情同意的原則�,而且要在必要����、合理的范圍之內(nèi)��。”于國富表示����,并且經(jīng)營者在這方面也無法通過免責(zé)條款和免責(zé)聲明來規(guī)避責(zé)任����,因為消法中還規(guī)定����,如果用格式條款或免責(zé)聲明方式來規(guī)避消費者的主要權(quán)利或經(jīng)營者的主要責(zé)任,該條款即為無效。
不過李鐵軍坦言,以往的DNS劫持大多是通過木馬病毒來實現(xiàn)的���,如今通過路由器的DNS篡改不僅更加簡單,而且更加難以被察覺。
“這里確實有一個舉證責(zé)任的問題���,尤其是涉及互聯(lián)網(wǎng)的即時性行為,確實很難舉證。”于國富表示,“舉證難是一方面�,但舉證后要嚴(yán)厲依法處罰則是另一方面�����,不能因為舉證難就放棄了管理與規(guī)范。”
于國富建議,相關(guān)行業(yè)協(xié)會和消費者維權(quán)組織可以主動介入監(jiān)管和處理,如果一款路由器產(chǎn)品經(jīng)過評測后發(fā)現(xiàn)存有“后門”,一方面要給消費者適當(dāng)?shù)木?,同時還要盡快向主管機(jī)關(guān)報告���,甚至消費者協(xié)會都可以直接起訴涉事廠家�����。
