【5G前奏】揪出4G路由器漏洞造福未來
研究員剛於 DEF Con 發表報告,指出大量 4G 路由器存在漏洞,黑客可輕鬆遠程突破。其實 5G 都嚟緊,做乜仲集中火力去調查 4G 路由器呢?原因好簡單,研究員話根據過往經驗,好多製造商喺開發新產品時,核心程式碼其實都會同舊產品差唔多,所以如果唔正視問題,呢啲漏洞將會喺 5G 產品上繼續出現,所以唔好以為產品過時就唔使理。
Pen Test Partners 於 DEF Con 發表報告中,指出唔少知名牌子嘅路由器均存有多重漏洞,包括命令注入及遠程代碼執行漏洞,黑客只須編寫含惡意代碼嘅網站,之後就可以靜候有漏洞嘅路由器登入中招。研究員更指出,部分漏洞更容許黑客盜取登入密碼及其他資料,之後就可以盡情截取數據或將連接路由器嘅用戶導向其他虛假網站,非常大鑊。Pen Test Partners 已經向相關路由器製造商,舉報各項漏洞嘅細節,而大部分生產商已經修補問題。
貨尾照賣 漏洞唔理
無錯,係大部分製造商有修補啫,並唔係全部都咁合作喎。Pen Test Partners 話有部分生產商並無回應訴求,其中特別點名指出中國品牌中興(ZTE)尤其惡劣,首先係一款已停產嘅路由器 MF910,研究員舉報咗當中嘅漏洞後,ZTE 並無作出任何反應,反而另一款仲處於生產周期嘅路由器 MF920 就有即時修復。表面上好似好合理,但實情係 ZTE 網站上仲賣緊停咗產嘅 MF910 貨尾,簡直置客戶嘅安全於不顧,研究員亦推斷 ZTE 只係逐款產品修正,而唔係喺幾款產品共用嘅程式碼上著手。另外,研究員亦指出 Netgear、TP-Link 及華為嘅產品都榜上有名,不過問題就無 ZTE 咁嚴重。
喺報告嘅最後,研究員話其實 Netgear 本身都有賞金制度,但如果攞咗賞金就要滅聲,唔可以拎出嚟討論,所以佢哋今次就選擇唔經賞金制度舉報,目的自然係想多啲人知件事啦!