您当前的位置:首页 > 技术动态

DLink云路由存漏洞或泄露网银密码

2017-09-25 18:23:05

D-Link云路由存漏洞或泄露银密码

A5任务 SEO诊断选学淘宝客 站长团购 云主机

涉及17个型号产品;友讯集团在英文官发布其中四个型号路由器的补丁,但尚无中文版本

前日,专家演示显示,最快用时1分钟便攻破存在漏洞的D-Link路由器后台盘点今年4名与中纪委有关被查官员图中纪委

新京报讯 近日,国内安全专家发现友讯集团(D-Link)新产品 云路由 使用的固件系统中存在漏洞,黑客可轻易攻破路由器后台,获取用户银密码等隐私。漏洞涉及17个型号,预计全球受影响用户高达300万。

目前,友讯集团已在其英文官上公布存在漏洞的路由器型号,并发布了四个版本路由器的补丁,但该公告尚无中文版本。

最快1分钟攻破路由器后台

2月中旬,国内络安全专家发现多款D-Link路由器存在漏洞,并第一时间提交给厂商。目前,厂家确认该漏洞确实存在

前日,360安全专家刘健皓现场向展示了对存在漏洞的D-Link路由器的攻防试验。

刘健皓随机选择一台打开了路由器web远程管理功能的路由器,随后开始指令对该路由器实行定向攻击,通过不断修改指令,他很快进入了这台路由器的后台。计时发现

,用时不到5分钟。此后,经过对路由器后台文件的不断搜索,不到30分钟,刘健皓成功破解了该路由器的密码。

登录路由器,在控制面板上,很清楚地看到连接到该路由器的包括APPALETV、IPHONE以及XBOX等设备在内的12台电器。

如果在后台安装了针对性的黑客软件,我们可以轻易地劫持这些连接到路由器的电器的流量,从而分析出银行账号密码等隐私。 刘健皓同时称,黑客在攻破一台路由器后,再攻击有同类漏洞的路由器将变得更为简单。

随后,刘健皓再次演试。这一次,他现场修改了三个指令进一步激励全乡人民凝心凝力实施统筹城乡发展,在Enter键入的同时,便成功攻入了身旁的一台DIR-817LW,修改另一条指令后,他又成功拿到了这台路由器的密码小撒探会宗庆后代表称捐赠校舍比校车更重要,从攻入后台到拿到密码整个耗时不足一分钟。

可获取用户银账号密码

刘健皓介绍,此次受影响的路由器系列为D-Link新推出的产品云路由,与传统路由器相比,云路由相当于一个小型的家庭控制中心。此次漏洞,黑客只需要向路由器提交几个 指令 便可以拿到路由器权限

,获取权限后,除了可以借此推送广告、获取推广佣金、劫持正常站到钓鱼挂马站外,还可以通过获取用户的上流量,解析出用户的所有上信息,获取用户的宽带账号密码,银、支付宝等账号密码。

4月10日,友讯集团曾在其英文官发布了英文版本安全公告,详细公布了存在漏洞的17款路由器型号及固件版本,目前有限价房、公租房、廉租房等各类保障性住房7160套,官方已经发布了DIR-890L、DIR-880L、DIR-868L、DIR-860L四个型号路由器的补丁。

不过,昨日,新京报在友讯集团中文官上并未发现这份公告。对此,友讯集团中国区客服证实目前尚无中文版本公告,被问及原因,其表示将向公司反映后给答复(四川)安岳县一农村客运司机突患心脏病

。但截至昨晚,尚未获得回复。

■ 专家建议

及时升级路由器固件

针对路由器安全漏洞,360络安全专家刘健皓建议:

1、安装时应修改路由器初始化(出厂)默认口令。

2、设置一定强度的无线密码

,守好黑客攻击的第一道门。

3、在路由器的使用过程中,注意观察速是否经常无故变慢、留意是否有广告弹窗页面,若出现异常,可初始化路由器(恢复出厂设置)。

4、使用第三方安全测评软件,定期对路由器的安全状况进行扫描,发现异常则初始化路由器

,重新设置。

5、对于云路由设备,在打漏洞补丁之前,最好关闭路由器远程IP访问,减少后台被攻击的风险。

6、多查看路由器版本是否出现更新,关注厂家关于路由器补丁的更新及漏洞修复。

■ 链接

17个存漏洞 云路由 型号

●DAP-1522(B1)

●DIR-629(A1)

●DIR-300(B1)

●DIR-600(B1)

●DIR-815(B1)

●DIR-816L(A1)

●DIR-817LW(B1)

●DIR-818LW(A1)

●DIR-820LW(B1)

●DIR-850L(A1)

●DIR-850L(B1)

●DIR-860L(A1)

●DIR-860L(B1)

●DIR-865L(A1)

●DIR-868L(A1)

●DIR-880L(A1)

●DIR-890L(A1)

本版采写、摄影/新京报 何光 实习生 王佳慧

专业的丰田汽车维修店
宝马汽车维修店哪个好
私营企业拆迁标准
推荐阅读
图文聚焦