腾讯安全云鼎实验室发布的《2018年IoT安全威胁分析报告》显示,路由器、摄像头和智能电视是被攻击频率最高的三款IoT设备,占比分别达到45.47%、20.71%和7.61%。占据IoT设备攻击量将近一半的路由器,由于市场保有量巨大,一旦被爆出漏洞,极易引发大范围的攻击。
上述安全圈专业人士介绍,通过攻击路由器,不法分子不仅可以控制摄像头,还可以监控用户的网络行为。
早在2015年,便有网友在“吾爱破解”网站的“悬赏问答区”中提及飞鱼星路由器漏洞。帖子称“飞鱼星上网行为管理路由器可获取加密后的用户密码”,幷提供了飞鱼星路由器的密文密码,悬赏50吾爱币寻求密码。
记者发现,时隔4年,部分飞鱼星路由器的密文密码仍然直接被显示,通过开源软件的密码字典便可以得到登录密码。
6月26日,安全人士佳伟(化名)通过Zoomeye搜索关键词“volans”(飞鱼星)共搜索到111393条结果,其中包含设备111056台,网站205个。
通过资料卡中的IP地址信息,安全人士佳伟随机进入一台路由器的登录页面,发现该路由器的密文密码被保存在网站的某个根目录下面,对访问幷没有进行限制。也就是说,该路由器存在敏感文件泄露漏洞,可导致管理密文密码泄露。
由于存在敏感文件泄露漏洞,佳伟轻松获得一串密文密码。“将该字符串导入目前常用的开源密码恢复工具后,借助密码字典,便可以得到这台路由器的密码。”白帽子于小葵(化名)告诉新京报记者。
佳伟对钟馗之眼显示的前五页路由器进行了测试,前五页共包含100台路由器,其中90台为在线状态,十台为离线状态。测试发现,共有15条测试成功,获取密码的整个过程共花费了约十几秒。 |
