當你還像平常一樣上網時,也許你并不知道,可能已有黑客通過你的路由器實現了電腦入侵。
這種情況下,不僅個人隱私無法得到保護,一些不法分子還可能藉此獲利。
近日,國家互聯網應急中心(CNCERT)發(fā)布報告指出,經國家信息安全漏洞共享平臺(CNVD)分析驗證,D-LINK、Cisco、Linksys、Netgear、Tenda等多家廠商的路由器產品存在“后門”,黑客可由此直接控制路由器,進一步發(fā)起DNS劫持、竊取信息、網絡釣魚等攻擊,直接威脅用戶網上交易和數據存儲安全,使得相關產品變成隨時可被引爆的安全“地雷”。
“‘后門’是指路由器廠商預留的接口,漏洞是路由器產品的安全缺陷,兩者都會對用戶形成安全威脅。”360安全專家石曉虹博士在接受法治周末記者采訪時表示。
金山毒霸反病毒工程師李鐵軍告訴法治周末記者,一些不法分子可以通過路由器的安全漏洞發(fā)起DNS劫持并強行彈出廣告,或借此機會,通過“偽裝”淘寶客(指幫助賣家推廣商品獲取傭金賺錢的人)等方式,騙取推廣傭金。
據李鐵軍介紹,有關路由器安全漏洞或“后門”的事件,早在2013年下半年已比較多見。
不過,國家互聯網應急中心的報告顯示,雖然國家信息安全漏洞共享平臺及時地向相關廠商通報威脅情況,向公眾發(fā)布預警信息。但截至2014年1月底,仍有部分廠商尚未提供路由器安全解決方案或升級補丁。
拉響路由器安全警報
據石曉虹介紹,路由器廠商在開發(fā)階段預留的調試接口(即“后門”),往往擁有很高權限,由此方便開發(fā)人員管理和控制路由器。
當路由器出廠時,如果廠商沒有去除調試接口,消費者購買后就會一直存在此類“后門”。
在國家互聯網應急中心提供給記者的一份《關于多款路由器設備存在預置后門漏洞的情況通報》(以下簡稱“漏洞通報”)中顯示,近期國家信息安全漏洞共享平臺對Cisco、Linksys、Netgear、Tenda、D-LINK等主流網絡設備生產廠商的多款路由器產品進行分析,確認其存在預置后門漏洞。
漏洞通報分析稱,國家信息安全漏洞共享平臺對上述漏洞的評級均為“高危”,且像Netgear的多款路由器存在后門漏洞,該“后門”為廠商預設的超級用戶和口令。D-LINK部分路由器使用的固件版本中也存在人為設置的后門漏洞。
石曉虹告訴法治周末記者,除“后門”外,一些路由器往往還存在CSRF漏洞(通俗稱為“弱密碼漏洞”,由于針對路由器的CSRF漏洞攻擊只影響使用默認密碼的用戶),它也是目前影響用戶最多、被黑客攻擊最嚴重的路由器安全威脅。
石曉虹進一步解釋道,由此可引發(fā)CSRF攻擊,即黑客在一家網站植入攻擊代碼,當存在CSRF漏洞的路由器用戶瀏覽這個網站時,攻擊代碼能夠以路由器用戶的身份去修改路由器DNS配置。
“路由器管理后臺地址、管理賬號和密碼大多都是出廠默認的,路由器用戶如果沒有更換默認密碼,黑客就可以用用戶的身份向路由器管理后臺發(fā)出修改DNS的指令。”石曉虹表示。
360去年10月底發(fā)布的《2013年第三季度家用無線路由器安全報告》(以下簡稱“360路由器安全報告”)中也顯示,針對當時市面上主流的344款路由器進行檢測分析發(fā)現,共有104個型號的路由器容易被常見的CSRF攻擊,或DNS、DHCP等設置被篡改。
360路由器安全報告中稱,其中TP-LINK被檢出61個型號的產品容易遭到攻擊和篡改,數量最多。
對此,TP-LINK在其官方微博上發(fā)布公告稱,關于部分媒體提及的“路由器DNS劫持”問題,TP-LINK早已關注并解決了該問題。
TP-LINK一位負責人告訴法治周末記者,TP-LINK的產品并不存在人為預置“后門”的問題,而且現在的相關產品已經進行了更新,可以有效地防止CSRF的攻擊。
路由器掘金產業(yè)鏈
國家互聯網應急中心在報告中指出,以D-LINK部分路由器產品為例,攻擊者利用“后門”,可取得路由器的完全控制權。
而取得路由器的完全控制權究竟意味著什么?
近日,網友@Evi1m0就曬出了自己測試如何攻下鄰居家路由器的過程——獲取WiFi密碼,進入其電腦、手機,這一切用時還不到5分鐘。
此外,360路由器安全報告還指出,從黑客攻擊者篡改DNS設置的目的上看,49.5%的篡改是為了向用戶推送色情網頁和游戲廣告;28%的篡改是為了將淘寶等電商網站劫持到付費推廣頁面,從而騙取推廣傭金;還有22.5%的其他各類劫持,如將正規(guī)網站的訪問請求劫持到釣魚網站或木馬網站。
該報告顯示:去年7月,有大量網友反饋,打開游戲“英雄聯盟盒子”后自動彈出色情網頁。去年8月,有大量網友反饋,訪問QQ空間,打開的卻是假冒的《中國好聲音》中獎頁面。
李鐵軍還向法治周末記者還原了騙取廣告?zhèn)蚪甬a業(yè)鏈的整個過程。
李鐵軍告訴法治周末記者,很多網店都會通過搜索引擎、網頁廣告或軟件廣告等方式進行推廣。以淘寶網為例,一般情況下淘寶店主為了爭取更多的流量與客戶,就會與淘寶客合作,通過淘寶客的推廣鏈接獲得更好的推送效果。
據李鐵軍介紹,如果消費者通過點擊這些推廣鏈接進入某個網店,并在一定時間內在該網店進行消費,那么店家就會按照事先約定,將消費款中的一部分作為傭金支付給推廣鏈接的提供者。
“不同的商品傭金價格也不一樣,有些熱銷品的傭金甚至能達到5%到10%,”李鐵軍表示,“而用戶如果只是通過普通方式即沒有通過推廣鏈接進入到網店并消費,店家則無需向任何人支付傭金。”
在李鐵軍看來,上述是正常的交易環(huán)節(jié),而如果路由器的DNS遭到了惡意篡改,不法分子就將有可能“偽裝”成淘寶客騙取廣告?zhèn)蚪稹?/p>
李鐵軍告訴法治周末記者,這種情況下,即使用戶通過普通的途徑打開網店,其訪問請求也會被強制引導到某個推廣鏈接上,之后再跳轉到這家網店。
“用戶本應該直接進入網店,現在卻變成了通過推廣鏈接打開的網店,店家因此還要向虛假的推廣者支付本不該支付的傭金,這也無形中增加了淘寶店的成本,甚至店家也可能在成本壓力下會轉而升高產品價格,最終受傷害的還是廣大消費者。”李鐵軍表示。
誰為安全風險埋單
李鐵軍告訴法治周末記者,路由器通常都有一個默認的出廠模式,以方便用戶去配置,因此大多有一個非常簡單的初始密碼,一般都是admin。
TP-LINK的一位工作人員也坦言,目前路由器的安全隱患中,很大一部分是因為多數產品的登錄名和密碼都是默認的admin。
“用戶在使用路由器的過程中,往往只注意設置WiFi密碼,卻忽視了修改路由器的密碼,無形中就留下了很大的安全漏洞。”李鐵軍表示,“因此修改默認的路由器登錄密碼非常重要,消費者應該有安全防護意識。”
密碼雖然可以修改,可路由器的“后門”問題卻是消費者自身所難以解決甚至辨別的。
國家互聯網應急中心的報告顯示:國家信息安全漏洞共享平臺分析發(fā)現,受其“后門”漏洞影響的D-LINK路由器在互聯網上對應的IP地址就至少有1.2萬個,影響著大量用戶。
那么,如果因為路由器的“后門”原因給消費者造成了隱私泄露甚至個人財產上的損失,又該由誰來埋單呢?
北京市盛峰律師事務所主任律師、中國互聯網協會政策與資源委員會專家于國富在接受法治周末記者采訪時表示,新消法的一個重要亮點就是加強對消費者的個人信息保護,它明確規(guī)定消費者在購買使用商品和接受服務的過程中享有個人信息不受侵犯的權利,且經營者不得在提供商品和服務的過程中竊取或泄露公民的個人信息。
“產品質量法中也規(guī)定,如果某類產品有國家標準和行業(yè)標準,那么就應當符合相關標準;如果沒有相關標準,也不該有質量缺陷。”于國富表示,“質量缺陷就是指產品危及人身安全或者重大財產安全,也包括個人信息與隱私等。”
于國富認為,如果路由器留有“后門”,肯定是有重大瑕疵與缺陷,其產品質量也是有問題的。
“此外,在工信部第24號令中更是明確規(guī)定,信息服務的經營者在服務過程中,如果要收集用戶的個人信息,必須堅持知情同意的原則,而且要在必要、合理的范圍之內。”于國富表示,并且經營者在這方面也無法通過免責條款和免責聲明來規(guī)避責任,因為消法中還規(guī)定,如果用格式條款或免責聲明方式來規(guī)避消費者的主要權利或經營者的主要責任,該條款即為無效。
不過李鐵軍坦言,以往的DNS劫持大多是通過木馬病毒來實現的,如今通過路由器的DNS篡改不僅更加簡單,而且更加難以被察覺。
“這里確實有一個舉證責任的問題,尤其是涉及互聯網的即時性行為,確實很難舉證。”于國富表示,“舉證難是一方面,但舉證后要嚴厲依法處罰則是另一方面,不能因為舉證難就放棄了管理與規(guī)范。”
于國富建議,相關行業(yè)協會和消費者維權組織可以主動介入監(jiān)管和處理,如果一款路由器產品經過評測后發(fā)現存有“后門”,一方面要給消費者適當的警示,同時還要盡快向主管機關報告,甚至消費者協會都可以直接起訴涉事廠家。