近日,360互聯網安全中心發布了《2014年第一期中國家用路由器安全報告》,數據顯示國內家用路由器保有量約1億臺左右,常用路由器型號超過1000款,其中使用TP-Link、MERCURY(水星)、Tenda(騰達)、FAST(迅捷)等十余個路由器品牌的用戶超過95%。
但是,另一組數據卻讓人不免大吃一驚。雖然我國路由器數量驚人,但是路由器安全隱患問題十分嚴重,其中CSRF漏洞在可識別型號/固件版本的4014萬臺路由器中覆蓋率高達90.2%,另外,全國約有80萬臺路由器沒有WiFi密碼,約330萬用戶采用了WEP加密,這些都令路由器處于高危狀態,極易被黑客利用攻擊,而黑客如果掌控路由器就意味著掌控了所有連接路由器的網絡設備,手機、平板電腦等敏感信息都將外泄,嚴重者會造成銀行賬號的財產損失。
WiFi有密碼不代表100%安全
常見的WiFi加密方式有三種:WEP、WPA以及WPA2 PSK。WEP加密方式是一種較早的加密方式,這種加密方式雖然能在一定程度上制止窺探者進入無線網絡,但其密碼可以通過算法計算得出,基本百發百中,極其不安全。所以目前一般默認選用的加密方式為WPA/WPA2 PSK,這兩種方式相較于WEP都采用了更安全的加密技術。
而從數據上看,目前國內1億臺路由器中,沒有WiFi密碼的數量依然有80萬臺,而采用不安全的WEP加密的數量有330萬臺。并且,即便是使用了WPA/WPA2 PSK加密方式,如果WiFi密碼本身的強度不夠,仍然很容易被破解和入侵。從數據上看,在嘗試通過WiFi連接路由器,并且正確輸入了密碼的設備中,約9.5%的設備為路由器所有者不認識的(陌生的)疑似蹭網設備。可見,WiFi蹭網現象的嚴重性,如需解決還需借助第三方管理軟件,即便連接WiFi網絡,依然需要允許才能正常上網。
越獄和Root設備連接WiFi也有風險
越獄的iPhone、iPad,以及Root后的安卓手機,如果接入安全性未知的WiFi網絡,或者是家用WiFi網絡遭黑客入侵,則有可能造成手機上的短信、照片等私密數據被攻擊者竊取。
因為這些設備往往會開啟OpenSSH-Server、ADB調試等遠程控制或遠程調適服務,并且這些遠程服務又會使用默認的登錄密碼。而使用者通常并不知道手機會開啟這些遠程服務,即沒有及時關閉這些服務,也沒有修改服務密碼,從而使攻擊者可以輕易的入侵到手機等設備中,進而盜取用戶手機等設備中的短信、照片等信息。
抵御WiFi風險 需企業和用戶齊努力
WiFi風險有一半需要企業解決,另一半需要用戶掌握,兩者缺一不可。
企業在路由器的功能上也亟待開發,比如路由器設備應開發基本的防蹭網功能,甚至有人暴力破解的時候可以自動拉黑;對于首次連接的陌生設備,需要人工干預是否允許接入網絡,并且還要可以方便的查看連接路由器上的設備,以便管理;還有智能權限管理,臨時接入設備和長期可信設備應相互隔離管理,保護各自的安全性;最后,引導用戶設置使用更為安全的加密方式。相信企業開發了相應的功能就可以確保WiFi的安全性,讓用戶可以使用上放心的WiFi。
同時,在現階段WiFi的安全需要用戶的參與,首先是加密方式,WPA/WPA2 PSK都是更安全的加密方式,并且WiFi密碼需要足夠負責,字母+數字的混編不利于黑客的破解,越獄或root設備需要及時關閉OpenSSH服務和ADB遠程調試,如有需要也要盡快更改默認密碼。
(新聞稿 2014-08-28)