无线路由器安全问题大检讨!

发布者:码农创想家最新更新时间:2017-03-27 来源: ithome 关键字:无线路由器 手机看文章 扫描二维码
随时随地手机看文章

无线网络安全问题时有所闻,许多路由器设备厂商仍抱着消极态度,始终没有好好面对,甚至连美国政府都开始控告无线路由器厂商要求改善,到底有哪些以往可能就被忽略的问题,需要注意呢?


今年初,美国贸易委员会(FTC)指控,路由器大厂友讯(D-Link)生产的无线路由器及IP摄影机,可能因安全防护不足遭骇,导致美国消费者信息隐私受侵害。 去年华硕也遭提出类似告诉,后来已经和FTC达成和解,需改善产品并接受20年稽核。 这样的事件,也看出美国政府对于消费者权益维护的重视。

近一年来,无线路由器安全的问题又引起极大注目,因为美国联邦贸易委员会(FTC)开始重视无线路由器的安全,台湾品牌业者华硕(Asus)与友讯(D-Link)相继遭控告并要求改善,其中华硕的法律诉讼已经达成和解,并以改善产品及接受20年稽核为条件,友讯部分则还在进行阶段。

这已经突显出,资安议题是各厂商是无法避免的挑战和考验,过去以低标准看待的作法需要转变,现在这已经是可能影响市场对于品牌信任度,甚至各个网络设备厂商都无法幸免的一件事。

对于消费者而言, FTC这样的举动也就是在维护用户的权益,这也让大家关注到,如果你自己都没有去注意,问题怎么有机会去解决,你怎么能信任你所使用的无线路由器是安全的。

IoT发展浪潮下,无线路由器安全能否确保,更显重要

在物联网的发展趋势下,许多电子产品不仅是具有连网功能,并且是24小时不中断的运行,安全问题将是一大议题。 而我们周遭生活环境中,确实已经有数不清的连网设备,不论是开启手机Wi-Fi就能看到一大堆的无线网络,还有像是常见的监控摄影机、NAS网络储存等网络设备,随着连网应用的扩大,更不论还有智能电视、智能冰箱等各式各样的产品。

在今年1月4日,FTC其实也发起了物联网家庭资安检查挑战赛(IoT Home Inspector Challenge),同时祭出了2.5万美元的奖励。 目的是为了解决老旧的物联网装置存在的安全漏洞,提升物联网家庭信息安全,期望能有一套工具或方案,能替家中网络及所有IoT装置进行检查与安装更新,以及协助变更物联装置所内建、出厂默认或任何简单的密码。

这也意味着,过去长期忽视的网络设备安全问题,我们应该以更高的要求来看待。 尽管目前各式IoT方案与平台也不断在发展,但由于无线路由器提供对外联机的能力,因此,是否具备足够安全性成为现在的一大重要课题。 毕竟,对应行动需求而生的无线网络,也是因特网一大门户,这种无线的接入方式,比起有线网络更难以防范。



去年恶意软件Mirai掀起风波,根据趋势科技在2016年下半的统计,受感染的国家遍布全球,其中有3成受害装置在美国地区。 由于Mirai可侦测网络上使用出厂默认凭证,或固定凭证的物联网装置,并植入恶意软件,藉此将无线路由器等IoT连网设备,变成殭尸网络共犯。

若不改善,可能遭受更大规模的法律诉讼,厂商该有所警惕

有人会觉得,为什么是台湾网络设备厂商接连被控诉呢? 已经达成和解的华硕表示,FTC是否仅针对台湾的路由器厂商,他们无法评论,但能确定的是,FTC开始重视IoT的安全性,因此各个IoT相关厂商都会变成FTC关注目标。

从现在的这些动作与迹象来看,各国政府为了保护消费者,网络安全防护的需求已经逐渐升高,可不要置身事外。 同时,发生了像是FTC这样的法律控告事件,也带来一些后续影响及效果,使得更多业者也收到警惕之作用。

达友科技副总经理林皇兴表示,在他所接触到的企业与厂商之中,也确实感受到,他们决定要将FTC控告列入要考虑的风险之一,甚至这样的问题也有在公司董事会中发酵。 对于企业风险而言,普遍还会注意到的是,过去会有个案被消费者团体集体诉讼的例子,强迫这些业者更重视安全,这在美国相当热门,尽管这样的状况在台湾比较难发生,但厂商销售产品通常都是在全球,因此仍然不容忽视。

为什么无线路由器的资安问题会层出不穷?

但从根本来看,为何Wi-Fi路由器的资安问题会不断发生,令人感到忧心呢? 不论是受到漏洞攻击的影响,还是因安全瑕疵被控诉,甚至连美国政府在近年都采取实际法律行动。 到底为何我们看到无线路由器的资安事件不断发生?

接口设定默认的弱点

我们先从一些简单的问题来看,像是在无线路由器的设定管理时,后台管理接口默认的账号和密码都是admin,或是管理者账号是Admin,密码默认为0000或空白,这对于设定过一些无线路由器产品的用户来说,可能并不陌生。 由于这类传统设计上的作法一再延续,但这到底是不是个问题呢?

好处来说,当设备新买或还原默认值时,用户即使不用说明书,凭着过去的经验也容易很快上手维护,相对而言,他人也很容易猜到这些设定,因此,普遍来说,就有一定的风险存在。

漏洞修补更新的弱点

更严重的问题在于,设备厂商是否积极维护产品的韧体,像是你知道你的无线路由器厂商,多久提供一次韧体更新吗?

对于设备厂商来说,并未妥善处理漏洞修补与通知的问题。 例如,常会出现产品存在的漏洞已经被通报多时,却一直没有处理的状况,或是修补完也没有善尽通知用户的责任。

对于用户来说,这不就是设备厂商没有好好替消费者把关。

设备厂商的挑战

若从更大的产业面向来看,像是OEM代工生态,在过去商业模式中流行机海战术,因此一些厂商会将设备开出规格后,由不同厂商来竞争,但这类产品后续的安全维护的运行是否也有规画,这是否也可能造就现在无法适时处理安全漏洞的情况。

系统服务商的挑战

换一个角度来看,像是宽带业者提供的调制解调器,现在也结合Wi-Fi路由器功能,但这类设备的安全防护性也令人感到忧心,我们并不清楚业者与厂商,是否经常性地进行远程更新与维护。

用户的心态更要调整

当然,用户也不能都将问题推给厂商,用户难道自己也没有一点责任吗? 尽管设备有不易更新软件的问题,用户容易因方便性考虑,而采取不安全的简易设定,但自己也该积极做好管理设定,对自己的网络安全负责。

而且,对于不安全的产品,消费者其实也应该团结起来,强迫这些业者更重视安全。 尽管国内比较难有消费者集体诉讼,但我们看到国内对于「灭顶」一事所采取的行动,已经反应出消费者对于食品安全意识型态的抬头,然而,在信息安全方面,大多数人似乎是较为冷漠的看待。

也许有人认为这不是民生关注焦点,但我们更要想到的是,国内近期也在强调资安即国安、资安才是信息国力的基础的问题,如果没有让一般人都将资安看成民生一样的重要,那我们的全民资安是否也只是空口白话、虚有其表。

政府应尽保护用户的责任

再换个角度来看,难道台湾政府没有监管的责任? 不论维护国内厂商权益,或者是同样要替本土与全球的顾客权益把关。 相信,政府也不希望让全世界都有,台湾路由器产品不安全的印象。



在Wi-Fi安全相关议题上,还有一个面向是公用免费Wi-Fi的安全问题,像是根据网络设备厂商Xirrus在2016年公布的调查显示,已经有91%的人知道公共Wi-Fi并不安全,但也有89%的人还是会继续使用。 这样的现象看起来很吊诡,但实际也就是如此,毕竟就是有连网的需求存在。 如何让自己Wi-Fi上网更安全,是用户也该面对的事。 (数据源/Xirrus,2016年10月)

厂商应强化产品资安品管,并积极提升对于后续漏洞问题的处理能力

一般而言,几乎各无线路由器厂商的产品,都曾爆出有各种漏洞或后门,因此设备厂商都会释出韧体更新版本,对应漏洞修补。 若从FTC这几次控告的内容来看,主要在意的面向,应该是厂商没有积极处理后续安全的问题,让用户蒙上更多安全阴影。

从资安的角度来看,林皇兴表示,厂商的产品研发过程当中,怎么把安全纳入考虑,后续因应措施如何对应修补,以及又该如何通知用户,都是挑战。

像是设备厂商在开发流程中,是否要将资安列入研发循环的重要部分,例如原始码的检测,以及事后的渗透测试,对于非资安厂商而言,这一块本来就比较弱,一般要藉助外面第三方团队协助检测。

另外传统硬设备厂商的思维,可能需要转变,需重视软件资安团队的培养。

还有就是,设备厂商是否要有专责的团队,在市场上做舆情监控,也是一个议题,不论是各漏洞揭发平台的信息,或是用户的信息反馈,越快能够掌握应变,也就越能实时实时修补。 林皇兴也特别指出,像是现在的资安发展态势,就很强调搜集资安情资。

但很可惜,我们看到现在资安厂商会联合起来,推动共通情资交换,但我们很少看到无线路由器厂商,会联合起来做这样的事情。

漏洞处理与反应速度

就目前的漏洞通报平台来看,国际上最具公信力的安全弱点披露与发布的标准协议是CVE,国内也有TWCERT。 而各路由器厂商也有表示,业界目前常见作法是参考OWASP top 10、SANS 25以及CERT等平台上的案例再做内部修改,国外也有一个专门针对无线路由器安全的Router Security漏洞平台。 另外,我们现在看到现在一些厂商的作法是,建立自己产品的漏洞通报平台,并以提供奖金为诱因,协助改善产品。

据我们与各设备厂商的一些了解,现在各厂商可能也都有一些对应的作法,但用户可能更在意的是,厂商能否定期提供产品漏洞检测信息,或是第三方的检测报告,甚至是一个详尽、易于检视的安全公告网站。

关于安全漏洞修补,瀚铼科技也指出,设备商通常会面临两种问题,一种是架构性的问题,通常影响范围较广,需要修补的时间较长,还要包含各项功能检测,效能评估等等;另一种是代码漏洞问题,通常可以在较短的时间内找到修复的方法。

当然,这其实也面对到,厂商在安全方面投入资源多寡的问题。 对于系统安全性弱点的修补与处理积极的厂商,用户才能够给予较多的信任。

面对无线路由器的种种资安问题,其实也让消费者可能感到头痛。 趋势科技网络威胁防御技术部资深经理林悟生表示,一般会建议消费者,在购买无线路由器设备前,最好要检查一下产品推出时间,若是太旧的产品,后续支持力度可能会有疑虑,同时,最好能够探听一下,了解品牌厂商对安全的重视度与反应速度,以及在这方面的声誉如何。

安全的组态设定

至于像是用户容易因方便性,而做出不安全设定的问题。 这次访谈的厂商中,群晖软件开发部资深经理陈揆驩提到了接口设计思维改变这件事,是一个观点。 像是可以强制用户在设置无线路由器时,一开始就要变更管理接口的账号与密码,才能进行后续设定。

另外陈揆驩也举例,像是Wi-Fi无线网络的加密方式,传统作法可能都是空白,用户若是拉开下拉选单,则可以看到WEP、 WPA与WPA2等选项,现在多数作法则是,让默认选项就是安全性较高的WPA2。

另外,我们也就各式产品的操作经验来看,还有一些机制应该也是能够利用,像是密码强度检测机制,禁止用户设定常见、太过简易的密码,还有像是提供协助用户检测安全性设定的精灵,可引导用户操作,或是在设定选项中增加易于理解的提醒说明。

当然,一些机制确实可能会让用户在设定步骤变多,或是感觉更复杂,在这样两难的情况之下,如何在安全与便利之间取得平衡,一直都是资安防护上的议题。 但对消费者权益而言,其实更可以要求厂商提出更好的解决办法,避免用户自己在不经意的情形下,做出不适当的设定。

若无法信任无线路由器的安全,各界现阶段可实行的补救措施

回到用户的角度来看,对于无线网络安全的漠视,也是普遍常见的问题。 以过去经验来看,通常只要设备的网络能够通,用户多半就不会管路由器有没有问题。 这也导致路由器的安全漏洞被曝光后,很难得到及时的修复,因此存在巨大的安全隐患。

一般而言,企业多半会有专门的网络管理人员,可以做好设备维护与监控,但对于一般用户或中小企业来说,可能并不一定,许多人可能连定期检查、更新的概念与习惯都没有,但人人家中却几乎都有一台无线路由器。

用户要采取必要的自保手段

不论是最基本的更改SSID、设定复杂度高的强密码,还有管理接口账号密码的修改,以及定期的硬件更新升级,或是更多进阶安全防护的管理设定,而这些都是用户本身能做的事。

其中我们也特别关注,如何让用户有更好的韧体维护升级方式呢? 在厂商提供设备的漏洞修补韧体之外,另一面向就是用户要能意识到,记得做好无线路由器的韧体更新。 这样的现象存在已久,该如何有效去教育用户呢?

厂商可提供App,改善通知及更新程序

面对这样的问题,林悟生也表示他们从去年开始注意到一个发展态势,现在不少网络设备厂商都在开发对应无线路由器的行动App,这对于韧体升级的通知与更新,应该能带来一些帮助,甚至当有触发攻击事件,也能藉由App来警示用户。 确实,App的应用对于用户来说,会比传统网页接口操作更直觉一些,也许能够带来更好的帮助。

业者应主动提供加值安全防护功能

另外,就趋势科技的观察,现在国外网络宽带服务业者也会提供一些防护项目,除了业者本身后端都有对应的安全机制,也会在路由器上增加安全功能,这样的需求应该也会慢慢带进台湾。

政府从法规面要求祭出重罚

早期过去很多购物网站都有数据外泄问题,但受到重罚的例子并不多见。 确实,台湾本身连资安法都还在进行中,因此现阶段还很难以此吓阻。

即便如此,为了保障消费者权益,而惩处失职业者,仍不失为有效手段。 像是经济部工业局、国家通讯传播委员会(NCC)等机构,理应推动更具体的管制措施,让整体产业能更受到信赖。

近期无线路由器安全大事记

2017年1月 美国贸易委员会控告路由器大厂友讯生产的无线路由器及IP摄影机,因安全防护不足可能遭骇,导致美国消费者信息隐私受到侵害。

2016年12月 Netgear无线路由器缺陷影响旗下11款机型,该公司在数天后即发布紧急安全性通知。

2016年9月 D-Link安全漏洞影响超过120款产品,其中也包含无线路由器产品。 同时,该公司的DWR-932 B产品遭爆出有约20个安全漏洞。

2016年7月 TP-LINK爆出域名没有续租而遭他人注册的纰漏,使得原本提供用户进入tplinklogin.net或tplinkextender.net进行路由器设置的作法,出现问题。

2016年4月 广达(Quanta) 4G LTE、Wi-Fi路由器遭爆出一系列的安全弱点与漏洞,其中不少被认为是不应该犯的错误。

2016年2月 美国贸易委员会控告华硕生产的无线路由器、个人云服务,因安全缺陷,未适时处理相关安全弱点并告知用户产品潜藏的安全风险,最终华硕愿受20年稽核换取和解。

关键字:无线路由器 引用地址:无线路由器安全问题大检讨!

上一篇:台积电7nm预定下半年试产明年第1季量产
下一篇:各类芯片狂飙,智能机不涨不行了

推荐阅读最新更新时间:2024-05-03 16:17

代工延迟迫使SemIndia制造下一代路由器
对于SemIndia公司计划延迟拥有印度第一家主要的半导体制造厂的举动,已经迫使该公司在明年初开始制造下一代无线路由器以及家庭计算机网络设备,并稍侯开始大批量量产低成本的机顶盒。   根据在Mint的报道,SemIndia的公司联合体之一—SemIndia Systems Pvt. Ltd.—已经开始制造数字调制解调器,它生产的产品将锁定印度市场,因为该公司看到该国宽带产品正在浮现的巨大市场。   由于手握7000万美元的订单,SemIndia Systems在2007年末将达到1.5亿的销售额,其中,通过电子制造公司Flextronics已经生产了150万以上的ADSL调制解调器单元。它还希望扩展其宽带产品及服务的产品线,并向
[焦点新闻]
小广播
最新手机便携文章
换一换 更多 相关热搜器件
电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved