騰訊安全雲鼎實驗室發布的《2018年IoT安全威脅分析報告》顯示,路由器、攝像頭和智能電視是被攻擊頻率最高的三款IoT設備,占比分別達到45.47%、20.71%和7.61%。占據IoT設備攻擊量將近一半的路由器,由於市場保有量巨大,一旦被爆出漏洞,極易引發大範圍的攻擊。
上述安全圈專業人士介紹,通過攻擊路由器,不法分子不僅可以控制攝像頭,還可以監控用戶的網絡行為。
早在2015年,便有網友在“吾愛破解”網站的“懸賞問答區”中提及飛魚星路由器漏洞。帖子稱“飛魚星上網行為管理路由器可獲取加密後的用戶密碼”,并提供了飛魚星路由器的密文密碼,懸賞50吾愛幣尋求密碼。
記者發現,時隔4年,部分飛魚星路由器的密文密碼仍然直接被顯示,通過開源軟件的密碼字典便可以得到登錄密碼。
6月26日,安全人士佳偉(化名)通過Zoomeye搜索關鍵詞“volans”(飛魚星)共搜索到111393條結果,其中包含設備111056台,網站205個。
通過資料卡中的IP地址信息,安全人士佳偉隨機進入一台路由器的登錄頁面,發現該路由器的密文密碼被保存在網站的某個根目錄下面,對訪問并沒有進行限制。也就是說,該路由器存在敏感文件洩露漏洞,可導致管理密文密碼洩露。
由於存在敏感文件洩露漏洞,佳偉輕鬆獲得一串密文密碼。“將該字符串導入目前常用的開源密碼恢複工具後,借助密碼字典,便可以得到這台路由器的密碼。”白帽子於小葵(化名)告訴新京報記者。
佳偉對鐘馗之眼顯示的前五頁路由器進行了測試,前五頁共包含100台路由器,其中90台為在綫狀態,十台為離綫狀態。測試發現,共有15條測試成功,獲取密碼的整個過程共花費了約十幾秒。 |
