关于ZAKER 一起剪 合作 加入
三易生活 2021-12-06

9 款家用路由器测出 226 个漏洞,这锅该由谁来背

日前,一则关于家用路由器安全漏洞的消息在网络中广为流传,并吸引了不少朋友的关注。

这则消息的国内版本,标题是这样的:

乍一看,是不是觉得很吓人?而且细细一想会发现,这个标题几乎完美符合如今各类 " 爆款文章 " 的路数。前面先用 " 热门 "、" 家用 "、"226 个漏洞 " 等词语吸引关注,后面再给出一个看似非常简单易行的解决办法—— " 更换默认密码 "。

然而事情的真相到底如何," 更换默认密码 " 真能解决路由器的安全漏洞问题吗?如果你与我们三易生活一样富有探究精神,那么就不妨继续看下去吧。

家用路由器的安全隐患,的确非常严重

为了弄清整件事情的真相,我们首先就需要知道这条消息到底是从哪里传出来的。根据公开资料可以查询到,该消息实际上源于一家名为 CHIP 的海外知名数码杂志,他们与 IoT Inspector 这家安全研究机构一起针对几款家用路由器进行了一次安全测试。

在此次测试中,研究人员选取了市面上的 9 款路由器产品,技术上则涵盖了从 WiFi5 到 WiFi6 的两个代次,而品牌和产品定位上则既有几百元的中低端产品,也有三四千元的顶级旗舰。

同时在测试前,他们对所有参与测试的路由器都进行了固件升级,确保所运行的都是最新版本系统。

在这样的前提下,测试人员依然在所有受测路由器上发现了总共 226 个安全漏洞,其中最多的一款设备有 32 个漏洞,而最少的也有 18 个。并且这些漏洞普遍存在于路由器的系统内核,或是系统中某些过时的软件组件上。

话说到这里,大家明白什么了吗?其实简单总结一下结论,就是这条消息本身并非假新闻,家用路由器确实普遍存在大量安全漏洞,容易被黑客 / 病毒软件入侵。

但部分媒体在转载这一报道时,片面地强调了 " 改密码 " 的重要性,这其实是存在一定误导嫌疑的。因为按照此次安全测试本身的结论,仅靠 " 改密码 " 所能起到的防护作用是非常有限的,因为许多安全漏洞都是系统内核级别,无论有没有密码、密码多复杂,其实都没有办法进行防范。

问题的关键,未必都出在路由器厂家身上

在明白了事情的真相后,接下来让我们来深入探讨一下此事背后的原因,也就是最为关键的一个问题,为什么家用路由器会如此普遍地存在不安全因素?

是这些路由器产品的市场定位太低,厂商不重视吗?但纵观此次的受测设备会发现,其中既有数百元的产品、同时也测试了多款售价数千元级的旗舰路由器。而且从最终的漏洞数量情况上看,更贵的路由器也并没有比更便宜的产品安全。

是相关厂商的软件开发人员技术不够给力,修不好系统里的安全漏洞吗?但在此次的受测路由器品牌中,还包括了诸如华硕 ROG、群辉(Synology)、领势(Linksys)等一贯被认为相当有 " 技术力 " 的厂商,其中特别是群辉,在网络设备软件开发方面的实力无可置疑,说他们的工程师会发现不了路由器里的系统漏洞,显然很难令人信服。

其实仔细阅读这一报道的原文就会发现,之所以这些路由器从低端到旗舰级普遍存在大量的漏洞,一个很重要的原因就在于它们所使用都是基于 Linux" 魔改 " 的系统。同时这些系统里的 Linux 内核版本往往都非常老旧了,以至于内核本身就 " 自带 " 了不少安全漏洞。

安全问题最多的路由器,包含多达 32 个漏洞

看到这个结果可能有的朋友会说,这还不好解决,既然知道了问题根源,那么更新下系统、换用新的内核不就好了吗?

事实上,真正的难点恰好就出在这个地方。因为家用路由器安全漏洞的普遍存在,实际上也可以说这正好是 Linux 的一大短板与路由器行业的现状 " 碰撞 " 在了一起,所造成的无可奈何的悲剧。

系统特性与行业现状 " 撞车 ",悲剧无可避免

说到 Linux,可能很多朋友都知道它是一个影响甚广的、开源的操作系统。但真正要说 Linux 的技术特性,可能大家就不太熟悉了。

举个例子,当我们在一台电脑上安装 Windows 操作系统的时候,大家可能都知道,装完系统后我们还需要安装各种硬件的驱动程序。因为系统并不能自带所有硬件的驱动,所以需要用户自行安装后,一些硬件才能正常工作。

举例而言,罗技 G15 键盘的驱动,就只有 5.4 以上版本的 Linux 内核才具备

但 Linux 这边的情况则有点不同,因为对于 Linux 系统来说,它的很多硬件驱动实际上都是预先已经直接集成在了系统内核中。当然,这些驱动代码还是会来自于相应的厂商,但也就不需要用户自行安装配置了。

最新的 Linux 5.13 版内核里新增了对 M1 芯片的支持,换而言之,旧版的 Linux 系统无法在该硬件上使用

乍看之下,这好像是件好事。可问题就在于,这就导致特定的硬件架构往往是与特定的 Linux 内核版本强绑定的。简单来说,也就是老硬件往往注定了只能使用老版本的 Linux 内核,因为新内核里不再集成支持它们的驱动代码,所以对于更新的硬件来说,想要使用老版本 Linux 也同样不可能。

明白了这一点,我们再来看看如今家用路由器行业硬件发展的状况,就不难理解真正的问题出在哪了。

BCM4908(四核 A53 1.8GHz)在路由器行业算旗舰,但它仅相当于手机行业 7 年前的水准

没错,由于路由器行业过去很多年都不以 " 芯片配置 " 作为宣传卖点,因此导致整个行业在处理器架构方面的进步,速度远远落后于智能手机、个人电脑等领域。

举个最典型的例子来说,当智能手机刚刚迎来代表 2022 年水准的 ARM v9 指令集、Cortex-X2、A710、A510 CPU 架构时,路由器行业目前最新最强的主控方案,使用的则还是四核 2.2GHz(高通 IPQ8078)或者四核 2GHz(博通 BCM4912)的 Cortex-A53 架构,最多也就相当于智能手机上 2014 年的技术水准。

于是乎,一方面是整个路由器行业的芯片从底层架构上就普遍老旧,另一方面是 Linux 系统天生绑定硬件支持、老架构只能用老版本内核。所以当这两个因素碰撞到一起的时候,就算是神仙厂商、天才程序员估计也实在是没有什么办法,自然就只能对着平均一个设备几十个的系统安全漏洞大眼瞪小眼了。

【本文图片来自网络】

以上内容由"三易生活"上传发布 查看原文
一起剪

一起剪

ZAKER旗下免费视频剪辑工具

一起剪

觉得文章不错,微信扫描分享好友

扫码分享

热门推荐

查看更多内容