智能路由器是连接各种互联终端的中心,所有终端产生的交互信息和数据都要经过它,其角色堪比智能生活的网络“中枢”。
10月24日,在全球最大的关注智能生活的黑客赛事GeekPwn现场,多名白帽黑客联合演示了360、小米、联想、D-link、TP-link等十个品牌的路由器被攻破的场景,上演了智能路由大擂台。
三组参赛选手选择了某电商网站十款销量最高的路由器,利用智能路由器的未知漏洞,完成获取ROOT权限、篡改路由器DNS记录的攻破任务。使用其控制的山寨服务器来取代路由器中配置的DNS(域名系统)服务器,实现DNS劫持。如此攻破的结果就是,本来要打开正常的GeekPwn官网,却链接到另外一个黑客山寨的被PWN掉的GeekPwn官网。
和传统的路由器相比,智能路由器延伸了其功能性,不仅可以传输数据、安装应用、存储数据等,还具备一定的智能设备联动功能。在互联网+快速发展的时代背景下,现在很多家庭都安装了智能摄像头、智能门锁、智能插座等智能家居设备,路由器作为WiFi本源,理所当然成为家庭互联网的数据交互中心。
我们不难想象,一旦智能路由器的漏洞被黑帽黑客发现和利用,那么所有接入的设备都会成为陷阱。来自黑暗背后的威胁将不仅是床头灯被控制,在深更半夜制造恐慌,摄像头被实时监控,让生活裸奔,更可能是智能门锁被轻易开启,造成财产和人身安全威胁……如果是企业用户,很可能因此而丢失大量数据财产和商业机密。
GeekPwn评委专家表示:智能路由器是现代家庭和中小企业的必备智能硬件,其安全性不容忽视,GeekPwn始终相信问题被发现和消灭的越多,产品越安全。
据了解,秉持科学中立不妥协,负责任的漏洞披露原则,在活动结束后,GeekPwn组委会会提交漏洞报告给负责任的厂商,以帮助厂商尽早修复漏洞。
除了智能路由器,摄像头、智能插座、无人机、金融支付、O2O、SSL/TLS协议等也是今年GeekPwn嘉年华备受关注的项目。
