日前,一則關於家用路由器安全漏洞的訊息在網路中廣為流傳,並吸引了不少朋友的關注。
這則訊息的國內版本,標題是這樣的:
乍一看,是不是覺得很嚇人?而且細細一想會發現,這個標題幾乎完美符合如今各類“爆款文章”的路數。前面先用“熱門”、“家用”、“226個漏洞”等詞語吸引關注,後面再給出一個看似非常簡單易行的解決辦法——“更換預設密碼”。
然而事情的真相到底如何,“更換預設密碼”真能解決路由器的安全漏洞問題嗎?如果你與我們三易生活一樣富有探究精神,那麼就不妨繼續看下去吧。
家用路由器的安全隱患,的確非常嚴重
為了弄清整件事情的真相,我們首先就需要知道這條訊息到底是從哪裡傳出來的。根據公開資料可以查詢到,該訊息實際上源於一家名為CHIP的海外知名數碼雜誌,他們與IoT Inspector這家安全研究機構一起針對幾款家用路由器進行了一次安全測試。
在此次測試中,研究人員選取了市面上的9款路由器產品,技術上則涵蓋了從WiFi5到WiFi6的兩個代次,而品牌和產品定位上則既有幾百元的中低端產品,也有三四千元的頂級旗艦。
同時在測試前,他們對所有參與測試的路由器都進行了韌體升級,確保所執行的都是最新版本系統。
在這樣的前提下,測試人員依然在所有受測路由器上發現了總共226個安全漏洞,其中最多的一款裝置有32個漏洞,而最少的也有18個。並且這些漏洞普遍存在於路由器的系統核心,或是系統中某些過時的軟體元件上。
話說到這裡,大家明白什麼了嗎?其實簡單總結一下結論,就是這條訊息本身並非假新聞,家用路由器確實普遍存在大量安全漏洞,容易被駭客/病毒軟體入侵。
但部分媒體在轉載這一報道時,片面地強調了“改密碼”的重要性,這其實是存在一定誤導嫌疑的。因為按照此次安全測試本身的結論,僅靠“改密碼”所能起到的防護作用是非常有限的,因為許多安全漏洞都是系統核心級別,無論有沒有密碼、密碼多複雜,其實都沒有辦法進行防範。
問題的關鍵,未必都出在路由器廠家身上
在明白了事情的真相後,接下來讓我們來深入探討一下此事背後的原因,也就是最為關鍵的一個問題,為什麼家用路由器會如此普遍地存在不安全因素?
是這些路由器產品的市場定位太低,廠商不重視嗎?但縱觀此次的受測裝置會發現,其中既有數百元的產品、同時也測試了多款售價數千元級的旗艦路由器。而且從最終的漏洞數量情況上看,更貴的路由器也並沒有比更便宜的產品安全。
是相關廠商的軟體開發人員技術不夠給力,修不好系統裡的安全漏洞嗎?但在此次的受測路由器品牌中,還包括了諸如華碩ROG、群輝(Synology)、領勢(Linksys)等一貫被認為相當有“技術力”的廠商,其中特別是群輝,在網路裝置軟體開發方面的實力無可置疑,說他們的工程師會發現不了路由器裡的系統漏洞,顯然很難令人信服。
其實仔細閱讀這一報道的原文就會發現,之所以這些路由器從低端到旗艦級普遍存在大量的漏洞,一個很重要的原因就在於它們所使用都是基於Linux“魔改”的系統。同時這些系統裡的Linux核心版本往往都非常老舊了,以至於核心本身就“自帶”了不少安全漏洞。
安全問題最多的路由器,包含多達32個漏洞
看到這個結果可能有的朋友會說,這還不好解決,既然知道了問題根源,那麼更新下系統、換用新的核心不就好了嗎?
事實上,真正的難點恰好就出在這個地方。因為家用路由器安全漏洞的普遍存在,實際上也可以說這正好是Linux的一大短板與路由器行業的現狀“碰撞”在了一起,所造成的無可奈何的悲劇。
系統特性與行業現狀“撞車”,悲劇無可避免
說到Linux,可能很多朋友都知道它是一個影響甚廣的、開源的作業系統。但真正要說Linux的技術特性,可能大家就不太熟悉了。
舉個例子,當我們在一臺電腦上安裝Windows作業系統的時候,大家可能都知道,裝完系統後我們還需要安裝各種硬體的驅動程式。因為系統並不能自帶所有硬體的驅動,所以需要使用者自行安裝後,一些硬體才能正常工作。
舉例而言,羅技G15鍵盤的驅動,就只有5.4以上版本的Linux核心才具備
但Linux這邊的情況則有點不同,因為對於Linux系統來說,它的很多硬體驅動實際上都是預先已經直接整合在了系統核心中。當然,這些驅動程式碼還是會來自於相應的廠商,但也就不需要使用者自行安裝配置了。
最新的Linux 5.13版核心裡新增了對M1晶片的支援,換而言之,舊版的Linux系統無法在該硬體上使用
乍看之下,這好像是件好事。可問題就在於,這就導致特定的硬體架構往往是與特定的Linux核心版本強繫結的。簡單來說,也就是老硬體往往註定了只能使用老版本的Linux核心,因為新核心裡不再整合支援它們的驅動程式碼,所以對於更新的硬體來說,想要使用老版本Linux也同樣不可能。
明白了這一點,我們再來看看如今家用路由器行業硬體發展的狀況,就不難理解真正的問題出在哪了。
BCM4908(四核A53 1.8GHz)在路由器行業算旗艦,但它僅相當於手機行業7年前的水準
沒錯,由於路由器行業過去很多年都不以“晶片配置”作為宣傳賣點,因此導致整個行業在處理器架構方面的進步,速度遠遠落後於智慧手機、個人電腦等領域。
舉個最典型的例子來說,當智慧手機剛剛迎來代表2022年水準的ARM v9指令集、Cortex-X2、A710、A510 CPU架構時,路由器行業目前最新最強的主控方案,使用的則還是四核2.2GHz(高通IPQ8078)或者四核2GHz(博通BCM4912)的Cortex-A53架構,最多也就相當於智慧手機上2014年的技術水準。
於是乎,一方面是整個路由器行業的晶片從底層架構上就普遍老舊,另一方面是Linux系統天生繫結硬體支援、老架構只能用老版本核心。所以當這兩個因素碰撞到一起的時候,就算是神仙廠商、天才程式設計師估計也實在是沒有什麼辦法,自然就只能對著平均一個裝置幾十個的系統安全漏洞大眼瞪小眼了。
【本文圖片來自網路】
![圖中這兩種早餐,有你喜歡的嗎?[驚喜]](http://i.kkannews.com/thumb/280x220/1/b8/1b89b2640181fc642ad53c162d433ed9.jpg "圖中這兩種早餐,有你喜歡的嗎?[驚喜]")
