日前,国内知名路由器品牌TP-LINK被曝出安全漏洞"实锤"。据外媒报道, 著名安全专家、Google 安全工程师Matthew Garrett 公开了TP-LINK SR20 智能家居路由器一个"允许来自本地网络连接的任意命令执行"的漏洞。攻击者可通过该漏洞控制用户路由器,借此执行任意命令,危及用户隐私安全。
值得注意的是,Matthew Garrett早在 90 天前就将漏洞通知了TP-LINK厂商,但因迟迟未收到任何回应,才选择将漏洞正式公开。据悉,去年12月份,Matthew Garrett将相关漏洞报告提交给TP-LINK(相关网站提示1~3日回复)后没有收到任何回复。由于该漏洞接收平台漏洞详情描述字段限制500字不能提供完整的漏洞报告,他又在几周后通过推特联系相关负责人亦没有任何回复。
有安全专家对记者表示,随着智能家居的日渐普及,路由器的安全问题应被给予更多的关注。任何基于无线网络连接的智能家居设备,都需连接到无线路由器上才能工作,所以路由器便是智能家居安全的首要防线。如果路由器被黑客攻破,就可能导致智能家居暴露在外,引发隐私泄露,甚至人身安全问题。
TP-LINK是普联技术有限公司旗下品牌,其官网信息显示,普联公司在43个国家和地区分别设立了海外直属子公司或代表处,产品已应用于全球170多个国家。
实际上,这已非TP-LINK首次曝出安全漏洞。公开信息显示,早在2013年,波兰网络安全专家Sajdak发现TP-LINK TL-WDR4300和TL-WR743ND (v1.2 v2.0)无线路由器涉及到http/tftp的后门漏洞。该漏洞还被我国的国家信息安全漏洞共享平台(CNVD)收录,多地公安局官方微博也向广大网民提出了漏洞警示。
而面对漏洞问题,TP-LINK还被媒体曝出存在"不够重视"、"不愿为之买单"等消极态度"。据外媒neowin称,2016年,TP-LINK被曝出"域名注册失效 跳转其他网址"。该漏洞可能导致用户被导向危险网页。然而普联公司似乎并不关心, Cybermoon的CEO Amitay Dan称:目前为止,该公司决定做微小的修复,他们暂时不想花钱购买域名(这是解决这一问题的关键)。
记者注意到,近年来,除了TP-LINK外,思科、D-Link也曾被曝出安全漏洞。今年2月,雷锋网报道称,Rapid7研究人员在思科 RV320和RV325两种型号路由器中发现了漏洞,该漏洞将允许未经身份验证的远程攻击者检索其保存的全部敏感信息。去年8月,据天极网报道,一名安全研究人员称,黑客可利用D-Link调制解调器路由器中的漏洞将人们链接到虚假银行网站,试图窃取他们的登录凭证。
面对日趋高发的路由器漏洞问题,厂商对安全问题的忽视或难辞其咎。去年11月,360发布的《典型IoT设备网络安全分析报告》(以下简称报告)显示,约三分之二的厂商,未能在接到第三方报告后的三个月内修复系统漏洞。
报告称,厂商是守卫IoT安全的第一道关口。厂商能否为IoT设备设置安全模块、高强度的出厂密码,及时修复漏洞,都关系着IoT设备的安全。
然而,报告通过对流行IoT设备制造商的抽样调查发现,有66.7%的厂商会为部分IoT产品设置安全模块,另有33.3%的厂商则在设计IoT产品时完全不考虑安全问题,不设置安全模块。这种情况在中小厂商和初创厂商中更为普遍。此外,在进行抽样调查的IoT设备中,出厂设置弱密码的设备数量占比高达64.4%,存在较高的被暴力破解风险,危及用户隐私。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
