近日����,由歐洲領(lǐng)先的物聯(lián)網(wǎng)安全分析廠商IoT Inspector和德國 IT 雜志CHIP對(duì)知名廠商(Asus���、AVM、D-Link����、Netgear�、Edimax�、TP Link、Synology 和 Linksys)的9 臺(tái)Wi-Fi 路由器在實(shí)驗(yàn)室條件下進(jìn)行了徹底全面的安全測(cè)試���,測(cè)試結(jié)果堪稱是毀滅性的:設(shè)備中總共發(fā)現(xiàn)了226個(gè)潛在的安全漏洞���,而這些品牌的無線路由器的流通量數(shù)以百萬計(jì)。
漏洞數(shù)量排名前兩位的分別是來自TP-Link的32個(gè)漏洞 (TP-Link Archer AX6000) 和 Synology 的30個(gè)漏洞 (Synology RT-2600ac) 的設(shè)備�。 “該測(cè)試超出了對(duì)安全小型企業(yè)和家庭路由器的所有預(yù)期。并非所有漏洞都同樣嚴(yán)重——但在測(cè)試時(shí)����,所有設(shè)備都顯示出嚴(yán)重的安全漏洞,可以讓黑客的生活變得更加輕松�����,”IoT Inspector 首席技術(shù)官Florian Lukavsky 說��。
制造商做出了回應(yīng)——政策制定者也做出了回應(yīng)
測(cè)試團(tuán)隊(duì)聯(lián)系了所有受影響的制造商����,并給予了回應(yīng)的機(jī)會(huì)���。無一例外�����,所有人都或多或少地以密集準(zhǔn)備的固件補(bǔ)丁作為回應(yīng)�����,受影響路由器的用戶現(xiàn)在應(yīng)該緊急申請(qǐng)�����,以防自動(dòng)更新功能尚未激活���。“經(jīng)過我們的測(cè)試����,受影響的制造商已經(jīng)修補(bǔ)了他們?cè)O(shè)備中的許多安全漏洞�。但是 Wi-Fi 路由器仍然不是完美無缺的。CHIP 的作者 Jörg Geiger 說�,制造商仍有一些事情要做。
與此同時(shí)���,德國新政府的聯(lián)合協(xié)議宣布�,未來將要求制造商承擔(dān)更大的責(zé)任。它指出“制造商應(yīng)對(duì)其產(chǎn)品中的IT安全漏洞疏忽造成的損害負(fù)責(zé)��。”這增加了該行業(yè)不斷保護(hù)產(chǎn)品以避免巨額損失索賠的壓力����。IoT Inspector的固件安全檢查可自動(dòng)執(zhí)行這一重要的分析步驟。只需將設(shè)備的固件上傳到 iot-inspector.com���。在幾分鐘內(nèi)�,該平臺(tái)會(huì)生成檢測(cè)到的漏洞的詳細(xì)報(bào)告和風(fēng)險(xiǎn)評(píng)級(jí)��,然后可以有針對(duì)性地解決這些問題���。
所有制造商的典型問題
一些安全問題被檢測(cè)到不止一次����。經(jīng)常使用過時(shí)的操作系統(tǒng)�����,即 Linux 內(nèi)核���。由于將新內(nèi)核集成到固件中的成本很高�����,因此這里沒有制造商使用最新的Linux內(nèi)核版本�。所使用的設(shè)備軟件通常也已過時(shí)����,因?yàn)樗ǔR蕾囉贐usyBox等標(biāo)準(zhǔn)工具。設(shè)備提供的除路由之外的其他服務(wù)(例如多媒體功能或 VPN)也往往已經(jīng)過時(shí)����。事實(shí)上,很多廠商都使用“admin”這樣的默認(rèn)口令����,在很多情況下都是可以明文讀取的。“首次使用時(shí)更改口令并啟用自動(dòng)更新功能必須是所有物聯(lián)網(wǎng)設(shè)備的標(biāo)準(zhǔn)做法���,無論該設(shè)備是在家中使用還是在公司網(wǎng)絡(luò)中使用���。除了制造商引入的漏洞之外,最大的危險(xiǎn)是根據(jù)“即插即用和忘記”的座右銘使用物聯(lián)網(wǎng)設(shè)備��,”IoT Inspector的首席執(zhí)行官 Jan Wendenburg 警告說。
關(guān)于 IoT Inspector
IoT Inspector是歐洲領(lǐng)先的物聯(lián)網(wǎng)安全分析平臺(tái)�����,只需點(diǎn)擊幾下����,即可對(duì)物聯(lián)網(wǎng)設(shè)備的關(guān)鍵安全漏洞進(jìn)行自動(dòng)化固件測(cè)試。集成的合規(guī)檢查器同時(shí)發(fā)現(xiàn)違反國際合規(guī)要求的行為���。在盡可能短的時(shí)間內(nèi)識(shí)別外部攻擊和安全風(fēng)險(xiǎn)的漏洞����,并可以有針對(duì)性地進(jìn)行補(bǔ)救����。該解決方案通過Web 界面易于使用,可為物聯(lián)網(wǎng)技術(shù)的制造商和分銷商檢測(cè)未知的安全風(fēng)險(xiǎn)��。對(duì)于OEM合作伙伴制造的產(chǎn)品尤其如此����。基礎(chǔ)設(shè)施提供商��、咨詢公司、科學(xué)家和系統(tǒng)公司也從該產(chǎn)品中受益�����,并可以為其客戶提供附加值���。
參考資源:
1、https://www.iot-inspector.com/blog/router-security-check-2021/
2�����、https://www.iot-inspector.com/wp-content/uploads/2021/11/Chip-IoT-Inspector-Router-Sicherheit-Test.pdf
來源:網(wǎng)空閑話
在線咨詢
在線咨詢
0371-63319761