智能路由器是連接各種互聯終端的中心,所有終端產生的交互信息和數據都要經過它,其角色堪比智能生活的網絡“中樞”。
10月24日,在全球最大的關注智能生活的黑客賽事GeekPwn現場,多名白帽黑客聯合演示了360、小米、聯想、D-link、TP-link等十個品牌的路由器被攻破的場景,上演了智能路由大擂臺。
三組參賽選手選擇了某電商網站十款銷量最高的路由器,利用智能路由器的未知漏洞,完成獲取ROOT權限、篡改路由器DNS記錄的攻破任務。使用其控制的山寨服務器來取代路由器中配置的DNS(域名系統)服務器,實現DNS劫持。如此攻破的結果就是,本來要打開正常的GeekPwn官網,卻鏈接到另外一個黑客山寨的被PWN掉的GeekPwn官網。
和傳統的路由器相比,智能路由器延伸了其功能性,不僅可以傳輸數據、安裝應用、存儲數據等,還具備一定的智能設備聯動功能。在互聯網+快速發展的時代背景下,現在很多家庭都安裝了智能攝像頭、智能門鎖、智能插座等智能家居設備,路由器作為WiFi本源,理所當然成為家庭互聯網的數據交互中心。
我們不難想象,一旦智能路由器的漏洞被黑帽黑客發現和利用,那么所有接入的設備都會成為陷阱。來自黑暗背后的威脅將不僅是床頭燈被控制,在深更半夜制造恐慌,攝像頭被實時監控,讓生活裸奔,更可能是智能門鎖被輕易開啟,造成財產和人身安全威脅……如果是企業用戶,很可能因此而丟失大量數據財產和商業機密。
GeekPwn評委專家表示:智能路由器是現代家庭和中小企業的必備智能硬件,其安全性不容忽視,GeekPwn始終相信問題被發現和消滅的越多,產品越安全。
據了解,秉持科學中立不妥協,負責任的漏洞披露原則,在活動結束后,GeekPwn組委會會提交漏洞報告給負責任的廠商,以幫助廠商盡早修復漏洞。
除了智能路由器,攝像頭、智能插座、無人機、金融支付、O2O、SSL/TLS協議等也是今年GeekPwn嘉年華備受關注的項目。
(新聞稿 2015-10-27)