来自德国的弗劳恩夫通信学院(FKIE)最近对来自7个品牌共计127个家用路由器进行了一项研究,他们检查最新固件中是否存在已知的安全漏洞,结果令人震惊。
家用路由器
FKIE发现,过去一年中,有46个路由器没有进行过安全更新,并且许多路由器都受到数百个已知漏洞的影响。他们还发现,供应商在存在未修复漏洞的情况下发布新的固件让用户更新,这意味着,即便用户更新了最新的固件,仍存在被攻击的风险。
FKIE检查了2020年最适合家用的Wi-Fi路由器,如谷歌Wi-Fi和华硕的ROG等发现,华硕和Netgear在路由器安全性更新上,做的比D-Link、Linksys、TP-Link和Zyxel好,但即便是这样,他们认为仍然需要再做些工作,以保证用户的安全。
FKIE还发现,这些设备中,未做固件更新超过5年的占相当一部份,同时发现90%的路由器中均使用了Linux操作系统,但这些厂商并没有使用Linux内核维护人员提供的修复程序来更新路由器中的系统。
易引发隐私泄露
据了解,这项研究共从五个维度去评估路由器的安全状况,其中包括自上一次固件更新时间、运行这些固件的路由器有多少、漏洞是否有修复、密钥是不是私有的以及硬编码登录凭据。FKIE的结论是:与操作系统厂商相比,路由器制造商在提供安全更新方面过于落后。
落后的表现就是,在155个固件中,有83%的固件拥有潜在的网络攻击漏洞,平均每个路由器有172个漏洞!超过1/3的设备Linux内核版本为2001年2月的2.6.36或更早,Linksys WRT54GL更夸张,这个路由器使用的是2002年发布的2.4版本的Linux内核。
FKIE报告指出,在测试的127个路由器中,问题最大的是Linksys WRT54GL,这个路由器使用的是最老的Linux内核,有579个高危的漏洞!