科技网

当前位置: 首页 >自媒体

家用路由器被曝厂商留有后门上

自媒体
来源: 作者: 2019-02-11 16:04:29

上遇到广告弹窗,页被跳转赌博站;银无缘无故被盗很多人不知道,这些作恶的源头多起于家中那台小小的路由器。调查发现,TP-Link、D-Link、腾达、件等主流路由器品牌的多款产品,均使用了存在缺陷的漏洞固件、弱密码设置,导致黑客们可以轻而易举获得管理员权限。而在路由器劫持的背后,一条聚集了黑客、第三方平台、广告主的灰色产业链,已经悄然形成。

密码被盗,谁之过?

用户投诉:上行为被绑架,打开百度却弹出黄色站。

技术专家:路由器被劫持,一种原因是密码设置太过简单,另一种则是路由器留有后门。

一打开百度、京东就自动变成黄色站,重启了好几次路由器都没用。到了晚上更加猖狂,只要一开电脑就有浏览器弹窗广告,最后只有拔线!用户小勇对抱怨道,按上的方法重新设置路由器、跟宽带运营商反映后也没有效果,甚至前几天连账号都被盗了。上说是DNS劫持,但我路由器设置的是个数字+字母混合的长密码,怎么也会被轻易盗取?

事实上,小勇遇到的这种情况,正是黑客利用路由器的漏洞,进入后台篡改了DNS地址,把用户要访问的正常页面劫持到自己服务器上,盗取银、等重要个人信息。

北京知道创宇信息技术有限公司研究部总监余弦告诉,目前路由器被劫持的原因主要有两种,一种是用户路由器的管理界面密码太过简单,另一种就是厂家路由器的固件存在后门,黑客可以绕开管理界面的密码验证,直接入侵后台篡改DNS地址。

由于这两个漏洞的存在,用户面对恶意劫持难以防范:黑客事先在某些页上植入恶意代码,当用户访问这个页面,这段代码就已入侵路由器,在后台悄悄篡改了DNS地址。去年,国家互联应急中心曾发布公告,称出现针对TP-Link路由器的域名劫持,攻击方式也如出一辙:使用TP-Link路由器admin/admin等默认账号/密码的用户,只要浏览黑客所掌控的页,其域名解非的对啦析服务器IP地址就会被黑客篡改,指向境外某个服务器。

即使用户使用了长字符管理密码,也会被黑客轻易攻破:因为黑客可以绕过验证步骤,拿到最高管理权限。甚至有部分路由器厂家,默认设置开启远程访问、暴露了路由器的公共络IP,也就是说可以远程控制路由器。 余弦说道。

黑色产业,谁参与?

广告平台:可定向绑架全国任意省份的上用户,1000个广告弹窗收费50元。

一边是黑客们大肆篡改、劫持用户路由器的DNS地址,另一边广告主、商业站也在暗地里推波助澜,一条完整的产业链已经形成。

3月11日,以投放广告的名义联系到一家DNS广告平台,其自称不受站、址限制,任何页均可平和淡然地面对一切展示广告,甚至竞争对手页。广告由DNS直接发送,不会被屏蔽,受众总量超过8000万,日均活跃用户超过1500万,可定向捆绑全国任意省份的用户。

劫持广告一千个弹窗45~50元,也就是说有1000个用户打开百度、京东等站,弹出来的是你提供的广告或页。这种业务之前做过很多,像前段时间两家大型站为了推它们旗下某个产品,还向我们买过这种劫持广告弹窗,用来提高流量。该平台董姓负责人表示,很多商业站都是他们的大客户,只要是站有ICP备案,都能投放这种劫持广告,一天几千次CPM(千人展示)完全没有问题。

这种劫持广告甚至能根据用户浏览的页面内容,定向展示关联广告,比如一位患者在百度上搜人流、医院这些关键词,在搜索的结果页面中,就能直接弹出指定医院的广告,链接该院首页。该负责人称。

粗略估算了下,按照日均活跃用户1500万的展示次数,以及1000个广告弹窗50元的价格,高峰状态下平均每天收入在=75万元左右。有了这些广告利益的驱动,路由器劫持已经形成一条从黑客投放平台广告主的完整产业链。

根据安全联盟的数据监测来看,

家用路由器被曝厂商留有后门上

高峰期有1万多家站,被黑客植入了DNS劫持恶意代码,近500万用户受影响。同时背后有了广告、钓鱼站的利益支撑,近年来路由器劫持变得日益猖獗。 余弦表示。

后台缺陷,有意为之?

技术专家:厂商自己留有后门程序,以便日后检测、调试需要,但是管理权限易被黑客劫持。

今年2月份,国家互联应急中心(CNCERT)最新发布的一份漏洞报告称,Cisco、Linksys、Netgear、Tenda、D-link等主流络设备生产厂商的多款路由器产品,均存在远程命令执行、超级用户权限等预置后门漏洞,黑客可借此取得路由器的远程控制权,进而发起DNS劫持、窃取信息等攻击。

去年有不少家庭用户使用的TP-Link关存在漏洞,DNS地址被人为篡改,打开正常页时会访问或者弹出某几个固定页面。一位省级运营商技术负责人告诉,发现这一情况后,他们在骨干上将这些被劫持的用户流量,引导到安全页面进行提示,并且在后台对于钓鱼站做了拦截处理。

在他看来,用户没有及时更改路由器的初始密码固然有,但路由器厂商也有着无法推卸的:厂商应该在产品出厂时给路由器分配一个随机密码,而不是简单的设成12345这样的弱口令。

但更让人担忧的则是产品本身。极路由创始人王楚云告诉, 目前路由器厂家的主流产品,均留有一个超级管理权限,在安全防范措施较弱的情况下,这恰恰为黑客劫持路由器提供了最大便利。

很多传统厂商在产品的开发过程中,一般都会为了日后检测、调试的需求,预留这个权限。但这跟安卓系统类似的是,一旦黑客利用漏洞拿到这个管理员权限,所有的防护措施都如同虚设。

知名厂商D-link在其多款主流路由器产品中,就留下了这样一个严重的后门。我们检测出的漏洞是,用一个roodkcableo28840ybtide的关键密匙,就能通过远程登录,轻松拿到大多数D-link路由器的管理权限。余弦告诉,Dlink的固件是由其美国子公司AlphaNetworks提供的,该公司的研发技术总监叫做Joel,而这个字符串颠倒后恰好也是edit by 04482 joel backdoor(Joel的后门)。

这种厂家自己留的后门程序,居然是按照研发人员姓名来设置,太过明显了,完全有可能是厂家有意为之。

而一份来自ZoomEye数据显示,全球范围使用这种有缺陷的D-Link用户在63000名左右,遍布中国、美国、加拿大、巴西等地。而在国内,有约十万台TP-Link路由器存在后门缺陷,受影响用户达到百万级别。

猪粪怎么处理价格
富春山居图
智能广告路由器报价

相关推荐