你的宽带路由器并没有想象中安全

路由器的结构简图(图片来源:Nikolai Hampton)      

路由器位于你的家庭网络和互联网之间。这个不起眼的设备经常被忽视,然而它却是抵御黑客、恶意软件和病毒的第一道防线。

人们往往认为,只要在路由器中使用最新固件,就可以抵御网络威胁。然而,我们最新的研究发现即使路由器中使用的是最新的固件,依然容易受到危险的攻击。

固件是一个操作系统和软件的集合体,它可以控制你的路由器的所有功能,从指示灯闪烁和配置选项,到先进的网络安全功能。与台式电脑的操作系统类似,固件内可能包括上千个系统文件,其中任何一个都有可能包含安全漏洞。

就像你安装在笔记本电脑或者台式机的那些软件一样,路由器中的软件也需要维护和经常更新,以减少已知的安全漏洞。但不幸的是,我们发现即使是最新的固件也同样包含安全漏洞。

过时的软件

为了测试这些设备的实际安全性,我们从37种目前常用的宽带路由器中提出其固件。然后对这些硬件执行逆向工程来分析诸如操作系统、系统库和可执行文件等这些组件。从而使得我们可以构建关于设备、软件版本和已知漏洞的综合信息库。

最终发现测试中的90%组件已经使用超过六年。无论制造日期或是发布日期如何新,我们在每个固件中总能找到过时的软件和已知的安全漏洞。

过时的软件或许听起来并不是什么大事儿。但是,安全专家一致认为,所有开发者应该从一个坚实的基础开始,并对软件组件建立起良好的维护和升级。

?软件组件发布时间表——历史的视角。(图片来源:Nikolai Hampton)

然而许多人可能并未意识到在十年前发现的严重安全漏洞至今依旧存在。网络威胁进化迅猛,六个月对于其已算是相当长的时间,两年相当于永恒,而十年——显然,你已经有相应的概念了!

过时的组件通常拥有众所周知的安全问题,以至于普通的安全测试工具和黑客软件甚至将对这些漏洞的检测和利用并入单一的“指向和点击”界面。所以老旧的固件组件是一个重大的问题。

存在这一问题的并不仅仅是路由器

物联网(IoT)和智能设备同样也采用了固件。如果我们发现的这种模式继续下去,那在不久的将来便可能出现一种可以感染你联网冰箱的恶意软件。

我们最新的研究已经开始“破解”物联网设备。第一个用于测试的设备是一款2015年出产的联网安全摄像头,这个摄像头拥有2008年版的过时操作系统和关键安全组件。

不过,虽然听起来着实令人担忧,我们的研究也并不表明消费者的路由器正频繁或者大规模的遭受攻击。但是,它表明了在这种环境下,在不久的将来,路由器遭受攻击的频繁程度和严重性有可能增加。

所以即使你可以照着最佳网络安全实践做,但依然还是无法得到完全的保护。如果你相信最新的固件可以提供完全的保护,那这样的安全纯属你的错觉。事实上,大多数路由器固件的核心组件是建立在十年前发布的开源软件之上的,并且(大多时候)是由兼职的技术宅而不是专业人士维护。

宽带路由器显然容易受到各种网络安全威胁,同时目前其制造商也并不打算更新它们应用固件的开发。透明度、问责制和用户教育的缺失滋生了这样的环境:只有那些率先进入市场并拥有多种功能或时尚外貌的设备会受到追捧,而不是那些有健全安全性的设备。

你该如何保护自己?

我们的研究并不是要说明所有的固件升级都是浪费时间。目前的问题是缺乏透明度;我们根本不知道我们的固件设备中包含了什么。
所以最好的建议依然是保持你的设备的时刻更新。

你同样可以通过多层防御来得到更好的保护,例如病毒扫描和防火墙。而Windows操作系统自带了这样的内置服务,包括视窗防护(Windows Defender)和视窗防火墙(Windows Firewall)。你应该确保这些服务都安装上了,并且将时刻更新和运行作为优先事项。

第三方杀毒软件也可以提供帮助,但或许有些人会发现这些软件更有可能帮倒忙。第三方可能同样包含不需要的程序和工具栏,它们会阻碍你的计算机或网络接入。在你决定信任这款产品之前你应该阅读各种产品评论。

要真正解决这个问题,还是只能依靠制造商。消费者和IT专业人员当然想要更高的安全性,但没有更进一步的独立设备分析,他们也就无法了解安全问题或其影响。这才是真正需要得到关注的地方。

我们提出了一系列的长期解决方案,包括建立一个安全评级系统,去帮助用户了解他们所使用的设备。我们希望在这个行业,在大规模网络攻击威胁来临之前,安全专家和终端用户可以共同努力来实现有意义的安全改造。

原文来自《科学美国人》


注:所有文章均由中国数字科技馆合作单位或个人授权发布,转载请注明出处。