0371-63319761
您的当前位置:主页 > 安全研究 > 冰球突破豪华版官网 >

常见Wi-Fi路由器的漏洞数量和危害程度令人惊讶

时间:2021-12-14


近日,由欧洲领先的物联网安全分析厂商IoT Inspector和德国 IT 杂志CHIP对知名厂商(Asus、AVM、D-Link、Netgear、Edimax、TP Link、Synology 和 Linksys)的9 台Wi-Fi 路由器在实验室条件下进行了彻底全面的安全测试,测试结果堪称是毁灭性的:设备中总共发现了226个潜在的安全漏洞,而这些品牌的无线路由器的流通量数以百万计。
 
 
漏洞数量排名前两位的分别是来自TP-Link的32个漏洞 (TP-Link Archer AX6000) 和 Synology 的30个漏洞 (Synology RT-2600ac) 的设备。 “该测试超出了对安全小型企业和家庭路由器的所有预期。并非所有漏洞都同样严重——但在测试时,所有设备都显示出严重的安全漏洞,可以让黑客的生活变得更加轻松,”IoT Inspector 首席技术官Florian Lukavsky 说。
 
 
制造商做出了回应——政策制定者也做出了回应
 
测试团队联系了所有受影响的制造商,并给予了回应的机会。无一例外,所有人都或多或少地以密集准备的固件补丁作为回应,受影响路由器的用户现在应该紧急申请,以防自动更新功能尚未激活。“经过我们的测试,受影响的制造商已经修补了他们设备中的许多安全漏洞。但是 Wi-Fi 路由器仍然不是完美无缺的。CHIP 的作者 Jörg Geiger 说,制造商仍有一些事情要做。
 
与此同时,德国新政府的联合协议宣布,未来将要求制造商承担更大的责任。它指出“制造商应对其产品中的IT安全漏洞疏忽造成的损害负责。”这增加了该行业不断保护产品以避免巨额损失索赔的压力。IoT Inspector的固件安全检查可自动执行这一重要的分析步骤。只需将设备的固件上传到 iot-inspector.com。在几分钟内,该平台会生成检测到的漏洞的详细报告和风险评级,然后可以有针对性地解决这些问题。
 
所有制造商的典型问题
 
一些安全问题被检测到不止一次。经常使用过时的操作系统,即 Linux 内核。由于将新内核集成到固件中的成本很高,因此这里没有制造商使用最新的Linux内核版本。所使用的设备软件通常也已过时,因为它通常依赖于BusyBox等标准工具。设备提供的除路由之外的其他服务(例如多媒体功能或 VPN)也往往已经过时。事实上,很多厂商都使用“admin”这样的默认口令,在很多情况下都是可以明文读取的。“首次使用时更改口令并启用自动更新功能必须是所有物联网设备的标准做法,无论该设备是在家中使用还是在公司网络中使用。除了制造商引入的漏洞之外,最大的危险是根据“即插即用和忘记”的座右铭使用物联网设备,”IoT Inspector的首席执行官 Jan Wendenburg 警告说。
 
 
关于 IoT Inspector
 
IoT Inspector是欧洲领先的物联网安全分析平台,只需点击几下,即可对物联网设备的关键安全漏洞进行自动化固件测试。集成的合规检查器同时发现违反国际合规要求的行为。在尽可能短的时间内识别外部攻击和安全风险的漏洞,并可以有针对性地进行补救。该解决方案通过Web 界面易于使用,可为物联网技术的制造商和分销商检测未知的安全风险。对于OEM合作伙伴制造的产品尤其如此。基础设施提供商、咨询公司、科学家和系统公司也从该产品中受益,并可以为其客户提供附加值。
 
参考资源:
1、http://www.iot-inspector.com/blog/router-security-check-2021/
2、http://www.iot-inspector.com/wp-content/uploads/2021/11/Chip-IoT-Inspector-Router-Sicherheit-Test.pdf
来源:网空闲话
 

Copyright © 2017-2020 冰球突破豪华版官网 版权所有 豫ICP备18011434号-1 豫公网安备 41019702002746号