部分品牌路由器存“后门” “小白”如何自保？

　　在无线环境下使用网银，要小心。

　　携程事件让人冒了一身冷汗，路由器又让我们绷紧了神经。为了方便家里的电脑、手机等设备同时上网，许多家庭使用无线路由器。不过，这种无线路由器恰恰成为外界攻击的对象。

　　近日，网民“Evi1m0”在知乎网上发表文章称，自己利用一款linux破解WiFi密码的工具，成功地破解了隔壁妹子的WiFi，“喝了杯咖啡回来，发现密码已经出来了：198707××。”而成都某办公室里的数台电脑和手机也在2分钟内被入侵。使用网银的密码、操作记录以及QQ、股票账户、电子邮件等，全被陌生电脑神不知鬼不觉地卷走，全过程耗时不到15分钟。

　　此前，国家互联网应急中心最新发布的“2013年互联网网络安全报告”指出D-LINK、思科等厂商的路由器存在后门程序。此前，NSA被曝光的“Shotgiant”行动号称可以监控华为高管的通讯——连IT公司都不“安全”，我们这些普通的“小白”用户该如何保护自己？

　　银行密码、聊天记录无一幸免

　　网友“Evi1m0”近日利用一些黑客工具，获得了隔壁妹子的微博、微信、人人网、QQ号码等工具的账号密码，还了解到隔壁妹子哪些设备在上网，并互联网盒子，自己决定在对方的电视上播放什么样的内容。“对方登录何网站，我都能同时登入。”Evi1m0说，黑客还可以恶意篡改路由器DNS，“这意味着用户访问的银行官网地址，有可能是人为制作的虚假的钓鱼网站，盗取银行账号、密码。”

　　在成都书院街让用户密码曝光的是TP-Link“WR740N”型号的路由器，尽管该办公室里的电脑都安装了当下主流的杀毒软件，依然毫无招架之力。9楼办公室内的杨女士正在电脑上使用网银，为安全起见，她特意插上银行配备的U盾。没想到，她输入的网银密码、银行存款的详细收支全都被楼下做实验的“黑客先生”尽收眼底。“路由器是WiFi网络内电脑、手机上网必须经过的网关，如果它被黑客控制，电脑、手机内的资料和上网使用的密码就成了黑客猎取的目标。”

　　为演示路由器“后门”的危害，某信息安全公司的高级顾问扮演“黑客”，通过控制的路由器轻松进入办公室内王先生的手机，他正通过手机上QQ。短短几分钟内，王先生的QQ号、密码、聊天记录以及手机内存放的照片、视频资料，就悄无声息地拷贝到J先生的电脑里。

　　调查：路由器厂商留“后门”？

　　网友“Evi1m0”刘彦硕是FF0000 TeAm创始人，目前就职于北京知道创宇信息技术有限公司，他说，“破解路由器密码的门槛很低，使用的软件和密码字典从网上就能下载到。”而在成都进行路由器黑客实验的J先生说：“我输入的是一个欺骗指令，如果路由器存在‘后门’，那么输入的指令会被默认为厂家技术人员的命令，路由器和WiFi网络内的一切立刻被我控制了。”

　　某电信设备厂商内部人士对记者表示，一些路由器厂商在研发成品时，为了日后调试和检测方便，会在产品上保留一个超级管理权限，就是所谓的“后门”，这个超级权限一旦被黑客发现并破解，就可以直接对该路由器进行远程控制。“如今很多路由器厂商实际上都是采用的同一种芯片解决方案，也就是说，如果最初的软件系统层面存在后门，那么多个品牌的多种产品就会‘中枪’。”

　　根据国家互联网应急中心发布的报告显示，去年涉及通信网络设备的软硬件漏洞数量为505个，较2012年增长1.5倍。D-LINK、思科、 Linksys、Netgear、Tenda等多家厂商的路由器产品存在后门，黑客可由此直接控制路由器，进一步发起DNS劫持、窃取信息、网络钓鱼等攻击，直接威胁用户网上交易和数据存储安全。“如果路由器经过升级封闭了‘后门’，黑客即便进入了网络，也很难窃取资料。”业内人士表示。

　　据国家互联网应急中心统计，截至今年1月底，仍有部分厂商未提供安全解决方案或升级补丁。对于路由器被曝光存在“后门”一事，路由器厂商腾达在其官方微博上称，“关于留后门这个说法肯定是不存在的。”对于漏洞，腾达表示，信息技术更新快，漏洞有存在的可能性，路由固件升级就是针对可能存在的漏洞问题的。

　　用户：“升级”太专业 盼上门服务

　　“‘后门’不等于漏洞，是一把双刃剑。”据技术专家表示，“后门”指“后门程序”，是可以绕过安全性控制而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员常常会在软件内创建后门程序，以便修改程序设计中的缺陷，载有“后门程序”的网络设备也可以帮助网络维护人员及时发现网络漏洞问题并调试。“后门在研发和后期网络维护阶段有一定的存在必要，然而厂家有必要在向客户提供产品时告知客户后门程序的存在，并由客户决定是否保留后门程序。”专家提醒用户应实时关注路由器生产厂家官方网站，看到有漏洞“补丁”升级公告时要及时升级。

　　记者查询上述几家被曝光的路由器厂商官方网站发现，一些厂商设有“路由器升级指南”，但也有不少没有此项设置，甚至连主页都打不开。此外，很多用户表示，WiFi设备设置复杂，普通用户很难找到相关的设置项做好加密与防护。“我从来没有对路由器做过升级，连最初使用时的设置也十分简单。”在采访中，大部分用户对记者表示。

　　网友阿Lin觉得，“厂商除了定期‘打补丁’，在线提供升级服务，让懂行的人自行解决之外，还应该就近免费提供上门服务，就像修理电冰箱、洗衣机一样。对于使用过程中软件出现的新问题也应马上向用户发送手机短信提醒，以防因为信息的遗忘和失联，造成不必要的损失。”

　　专家：路由器厂商应承担损失

　　360网络安全工程师安扬认为，路由器是所有上网流量的关卡，路由器被黑客控制，意味着与网络相关的所有应用都可能被黑客劫持，包括加密传输的数据也不再安全，这属于路由器本身的安全问题。“目前路由器的设置操作对普通网民来说过于复杂，导致用户难以进行必要的安全设置，带来极大安全隐患。另一方面，即便用户‘惦记’升级路由固件，如果路由厂商不及时提供升级服务也等于零。”

　　知名IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领认为，为了方便日后检测和调试，路由厂商人为设置“后门”，归根这是路由器本身的安全问题，用户一旦因路由器“后门”产生损失，路由器厂商应全权负责。“随着技术的发展，虽然没有任何路由器能做到永无漏洞，但是在现有的技术范围内，路由器厂商有义务通过‘升级’等手段来保证其产品的安全。路由器厂商明知有漏洞却无作为或‘升级’不及时而对用户造成的损失，将由路由器厂商承担。”