為了趕上產品開發時效與問市日程,目前多數消費級 Wi-Fi 無線網路路由器均採用開放原始碼套件進行開發,其中以 OpenWRT 為最大宗。可惜多數無線網路路由器的韌體升級作業並不完善,並無法在一定時間之內推出新版韌體修正漏洞。當 OpenWRT 被發現有相關漏洞時,消費市場的無線路由器幾乎是款款中標,又苦無修正韌體或其它修補方式。
The American Consumer Institute 於美國當地時間 9 月 26 日發表 1 份研究報告,報告載明表示美國現行市面販售的 14 個不同品牌、186 款型號無線路由器,共有 155 款出現安全性漏洞,比例為 83%;而在這些漏洞當中,共有 28% 被視為高風險或是重大風險漏洞,進而使得無線路由器損壞或是洩漏資訊。
▲The American Consumer Institute 最新研究表示,83% 市售消費級無線網路路由器均有嚴重程度不一的漏洞。
The American Consumer Institute 找來 186 款美國市面販售的無線網路路由器(詳細型號請見文末),並使用 Insignary 的 Clarity 軟體掃描這些款式的官網最新版韌體,找出漏洞之後,再依據 National Vulnerability Database 對漏洞的嚴重性進行分類。
▲155 款消費級無線網路路由器共找到 32003 個漏洞,其中約 7% 劃分為重大風險、21% 為高風險。
不知道讀者是否發現蹊蹺,The American Consumer Institute 掃描最新版本韌體,卻依然有 83% 的型號存在大小不一的漏洞,一般消費者購買並安裝無線路由器之後,甚少定期執行韌體檢查愈更新作業,因此實驗室以外實際存有漏洞的比例應該更高。
報告當中表示部分產品的韌體更新作業並不方便操作,甚至還需要上網註冊產品才可以取得新版韌體,對於不諳韌體更新作業的消費者而言,又是 1 個避免做麻煩事的藉口。報告也暗示廠商應可加入自動更新功能,但筆者認為廠商素質良莠不齊,更新過後是否能夠確保機器正常運作?更新時機是否正確不會影響使用者作業?這些都值得廠商仔細思考。
▲受測的 186 款無線網路路由器之一。
▲受測的 186 款無線網路路由器之二。
▲受測的 186 款無線網路路由器之三。
資料來源
New Study Warns of Inadequate Security Provisions in Home and Office Routers
註:The American Consumer Institute 擁有商業利益團體遊說者色彩。
加入電腦王Facebook粉絲團