安全技术厂商Independent Security Evaluators(以下简称“ISE”)研究人员杰克·霍尔科姆(Jake Holcomb)在Defcon 21黑客会议上表示,更多主流品牌无线路由器被发现存在缺陷,而且没有得到修正。
霍尔科姆说,无线路由器的安全问题比ISE 4月份发布的报告要严重。最新的研究显示,无线路由器“极其容易受到攻击。不能保护用户网络和数字资产的安全”。
霍尔科姆及其同事在报告中披露了56处新的安全缺陷,其中包括华硕、D-Link和TrendNet等主流品牌。
也许有些用户抱有侥幸心理,认为自己未必会受到影响。但霍尔科姆解释说,因为大多数路由器存在缺陷,而且很难修正,几乎所有使用路由器的用户都面临遭到攻击的风险。
通常情况下,小型企业和家庭用户设置的路由器密码强度都比较低,或者在多个场所使用相同的密码,使黑客有可乘之机。
霍尔科姆对修正路由器和传统PC的缺陷进行了比较,“大多数情况下,Windows和Mac支持自动更新。即使路由器支持自动更新,也很少有用户使用。”
因为人们都认为路由器是一种“一劳永逸”型的产品,不存在安全缺陷。让用户对路由器固件升级几乎是不可能的。
对路由器升级并非易事。霍尔科姆说,“我认为使路由器自动升级是一种解决方案,可以让用户选择不对路由器进行升级。”但是,由于主流路由器厂商对此态度消极,因此未来数年这一问题可能得不到解决。
霍尔科姆说,普联(TP-Link)修正了ISE通报的所有安全缺陷,但部分厂商并未做到这一点。他指出,在公开缺陷信息前,ISE会向相关厂商通报信息,使厂商有时间修正缺陷。