研究人员披露某国产路由存在多处安全漏洞且劫持用户网络
随着国内网民和智能设备的高速增长,国内多家厂商开始涉足智能路由器的研发与生产。
然而路由器关乎用户访问网络的安全,一旦出现重大问题则会威胁到用户的隐私信息安全。
日前就有一款国产智能路由器因为安全问题被安全研究人员披露,该事件甚至引起了不少外媒的关注。
由国内厂商必虎科技生产的标榜安全的必虎智能路由器被安全研究人员发现多个安全问题。
安全研究人员Alex Barnsbee来中国时带回去了一个必虎路由器,该路由器在中国销售的情况还不错。
但是Alex Barnsbee发现必虎路由器在用户身份验证机制上存在漏洞,攻击者无需进行身份验证即可访问存储在系统日志的敏感数据。
进一步研究后发现该路由器还能以root权限在路由器上执行系统级控制命令,可以进行任意操作。
该路由器还会劫持所有HTTP通讯插入一个第三方的JavaScript脚本(广告脚本、下文提)。
必虎路由器每次启动WAN连接时都会打开SSH端口,这意味着攻击者可以直接通过网络登录到SSH获得控制权。
然而非常让人意外的是这款路由器竟然还会劫持HTTP通讯并注入一个用于插入广告的JavaScript脚本。
每当用户访问使用HTTP明文传输的网站时该路由器会在流量里注入http://chdadd.100msh.com/ad.js。
讽刺的是这个JavaScript脚本仅接受来自中国地区的访问,也就是说即使非中国地区的用户使用也不会插广告。
如果无法访问这个JavaScript脚本怎么办呢?不用担心,为了能继续插广告这个脚本还会保存在本地。
这个JavaScript脚本内置了一份在/usr/share/ad/下,所以即使无法访问在线加载该脚本也没关系。
更加讽刺的是其内置的代理服务器旨在为用户去除网页上的广告(类似大家使用的Adbyby,不过Adbyby没干后面这事儿),但必虎却拿它来插入广告。
由于该脚本并未使用HTTPS进行连接,所以一旦被黑客劫持则又可以针对用户访问进行嗅探或者跳转到其他网址去。
从头到尾研究人员可以用一堆方法来劫持用户的网络,包括直接拿下路由器的控制权或者劫持广告脚本等等。
这款标榜安全的智能路由器几乎可以通过各种方式进行入侵,和安全二字简直没有任何关系。
国产路由器在海外市场销售的很多,而必虎的这种做法被外媒关注后势必会影响其他国产路由器在海外的口碑。
截止目前还不清楚这款路由器的多处漏洞是否被修复,但通过百度新闻搜索发现该厂商还在发软文宣传。
希望该厂商能够正视并解决问题,而不是选择沉默等待风波过去,纸毕竟包不住火!
附:有关该路由器问题的具体细节可以访问研究人员发布的博文:
http://blog.ioactive.com/2016/08/multiple-vulnerabilities-in-bhu-wifi.html