揭露路由器背后黑色產(chǎn)業(yè)鏈：廠商留有后門程序

　　IT時報記者 李棟

　　上網(wǎng)遇到廣告彈窗，網(wǎng)頁被跳轉(zhuǎn)賭博網(wǎng)站；QQ網(wǎng)銀無緣無故被盜……很多人不知道，這些作惡的源頭多起于家中那臺小小的路由器。記者調(diào)查發(fā)現(xiàn)，TP-Link、D-Link、騰達、網(wǎng)件等主流路由器品牌的多款產(chǎn)品，均使用了存在缺陷的漏洞固件、弱密碼設(shè)置，導(dǎo)致黑客們可以輕而易舉獲得管理員權(quán)限。而在路由器劫持的背后，一條聚集了黑客、第三方平臺、廣告主的灰色產(chǎn)業(yè)鏈，已經(jīng)悄然形成。

　　◆ 密碼被盜，誰之過？

　　用戶投訴：上網(wǎng)行為被“綁架”，打開 百度 卻彈出黃色網(wǎng)站。

　　技術(shù)專家：路由器被劫持，一種原因是密碼設(shè)置太過簡單，另一種則是路由器留有后門。

　　“一打開百度、京東就自動變成黃色網(wǎng)站，重啟了好幾次路由器都沒用。到了晚上更加猖狂，只要一開電腦就有瀏覽器彈窗廣告，最后只有拔網(wǎng)線！”用戶小勇對記者抱怨道，按網(wǎng)上的方法重新設(shè)置路由器、跟寬帶運營商反映后也沒有效果，甚至前幾天連QQ賬號都被盜了。“網(wǎng)上說是DNS劫持，但我路由器設(shè)置的是個數(shù)字+字母混合的長密碼，怎么也會被輕易盜取？”

　　事實上，小勇遇到的這種情況，正是黑客利用路由器的漏洞，進入后臺篡改了DNS地址，把用戶要訪問的正常頁面劫持到自己服務(wù)器上，盜取網(wǎng)銀、QQ等重要個人信息。

　　北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)余弦告訴記者，目前路由器被劫持的原因主要有兩種，“一種是用戶路由器的管理界面密碼太過簡單，另一種就是廠家路由器的固件存在后門，黑客可以繞開管理界面的密碼驗證，直接入侵后臺篡改DNS地址�！�

　　由于這兩個漏洞的存在，用戶面對惡意劫持難以防范：黑客事先在某些網(wǎng)頁上植入惡意代碼，當用戶訪問這個頁面，這段代碼就已入侵路由器，在后臺悄悄篡改了DNS地址。去年，國家互聯(lián)網(wǎng)應(yīng)急中心曾發(fā)布公告，稱出現(xiàn)針對TP-Link路由器的域名劫持，攻擊方式也如出一轍：使用TP-Link路由器admin/admin等默認賬號/密碼的用戶，只要瀏覽黑客所掌控的網(wǎng)頁，其域名解析服務(wù)器IP地址就會被黑客篡改，指向境外某個服務(wù)器。

　　即使用戶使用了長字符管理密碼，也會被黑客輕易攻破：“因為黑客可以繞過驗證步驟，拿到最高管理權(quán)限。甚至有部分路由器廠家，默認設(shè)置開啟遠程訪問、暴露了路由器的公共網(wǎng)絡(luò)IP，也就是說可以遠程控制路由器�！� 余弦說道。

　　◆ 黑色產(chǎn)業(yè)，誰參與？

　　廣告平臺：可定向“綁架”全國任意省份的上網(wǎng)用戶，1000個廣告彈窗收費50元。

　　一邊是黑客們大肆篡改、劫持用戶路由器的DNS地址，另一邊廣告主、商業(yè)網(wǎng)站也在暗地里推波助瀾，一條完整的產(chǎn)業(yè)鏈已經(jīng)形成。

　　3月11日，記者以投放廣告的名義聯(lián)系到一家DNS廣告平臺，其自稱不受網(wǎng)站、網(wǎng)址限制，任何網(wǎng)頁均可展示廣告，甚至競爭對手網(wǎng)頁。廣告由DNS直接發(fā)送，不會被屏蔽，受眾總量超過8000萬，日均活躍用戶超過1500萬，可定向捆綁全國任意省份的用戶。

　　“劫持廣告一千個彈窗45~50元，也就是說有1000個用戶打開百度、京東等網(wǎng)站，彈出來的是你提供的廣告或網(wǎng)頁。這種業(yè)務(wù)之前做過很多，像前段時間兩家大型網(wǎng)站為了推它們旗下某個產(chǎn)品，還向我們買過這種劫持廣告彈窗，用來提高流量�！痹撈脚_董姓負責人表示，很多商業(yè)網(wǎng)站都是他們的大客戶，只要是網(wǎng)站有ICP備案，都能投放這種劫持廣告，“一天幾千次CPM(千人展示)完全沒有問題。”

　　這種劫持廣告甚至能根據(jù)用戶瀏覽的頁面內(nèi)容，定向展示關(guān)聯(lián)廣告，“比如一位患者在百度上搜人流、醫(yī)院這些關(guān)鍵詞，在搜索的結(jié)果頁面中，就能直接彈出指定醫(yī)院的廣告，鏈接該院首頁�！痹撠撠熑朔Q。

　　記者粗略估算了下，按照日均活躍用戶1500萬的展示次數(shù)，以及1000個廣告彈窗50元的價格，高峰狀態(tài)下平均每天收入在15000×50=75萬元左右。有了這些廣告利益的驅(qū)動，路由器劫持已經(jīng)形成一條從黑客——投放平臺——廣告主的完整產(chǎn)業(yè)鏈。

　　“根據(jù)安全聯(lián)盟的數(shù)據(jù)監(jiān)測來看，高峰期有1萬多家網(wǎng)站，被黑客植入了DNS劫持惡意代碼，近500萬用戶受影響。同時背后有了廣告、釣魚網(wǎng)站的利益支撐，近年來路由器劫持變得日益猖獗�！� 余弦表示。

　　◆ 后臺缺陷，有意為之？

　　技術(shù)專家：廠商自己留有后門程序，以便日后檢測、調(diào)試需要，但是管理權(quán)限易被黑客劫持。

　　今年2月份，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)最新發(fā)布的一份漏洞報告稱，Cisco、Linksys、Netgear、Tenda、D-link等主流網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商的多款路由器產(chǎn)品，均存在遠程命令執(zhí)行、超級用戶權(quán)限等預(yù)置后門漏洞，黑客可借此取得路由器的遠程控制權(quán)，進而發(fā)起DNS劫持、竊取信息等攻擊。

　　“去年有不少家庭用戶使用的TP-Link網(wǎng)關(guān)存在漏洞，DNS地址被人為篡改，打開正常網(wǎng)頁時會訪問或者彈出某幾個固定頁面�！币晃皇〖夁\營商技術(shù)負責人告訴記者，發(fā)現(xiàn)這一情況后，他們在骨干網(wǎng)上將這些被劫持的用戶流量，引導(dǎo)到安全頁面進行提示，并且在后臺對于釣魚網(wǎng)站做了攔截處理。

　　在他看來，用戶沒有及時更改路由器的初始密碼固然有責任，但路由器廠商也有著無法推卸的責任：“廠商應(yīng)該在產(chǎn)品出廠時給路由器分配一個隨機密碼，而不是簡單的設(shè)成12345這樣的弱口令�！�

　　但更讓人擔憂的則是產(chǎn)品本身。極路由創(chuàng)始人王楚云告訴記者， 目前路由器廠家的主流產(chǎn)品，均留有一個超級管理權(quán)限，在安全防范措施較弱的情況下，這恰恰為黑客劫持路由器提供了最大便利。

　　“很多傳統(tǒng)廠商在產(chǎn)品的開發(fā)過程中，一般都會為了日后檢測、調(diào)試的需求，預(yù)留這個權(quán)限。但這跟安卓系統(tǒng)類似的是，一旦黑客利用漏洞拿到這個管理員權(quán)限，所有的防護措施都如同虛設(shè)�！�

　　知名廠商D-link在其多款主流路由器產(chǎn)品中，就留下了這樣一個嚴重的后門�！拔覀儥z測出的漏洞是，用一個roodkcableo28840ybtide的關(guān)鍵密匙，就能通過遠程登錄，輕松拿到大多數(shù)D-link路由器的管理權(quán)限�！庇嘞腋嬖V記者，Dlink的固件是由其美國子公司AlphaNetworks提供的，該公司的研發(fā)技術(shù)總監(jiān)叫做Joel，而這個字符串顛倒后恰好也是edit by 04482 joel backdoor(Joel編輯的后門)。

　　“這種廠家自己留的后門程序，居然是按照研發(fā)人員姓名來設(shè)置，太過明顯了，完全有可能是廠家有意為之�！�

　　而一份來自ZoomEye數(shù)據(jù)顯示，全球范圍使用這種有缺陷的D-Link用戶在63000名左右，遍布中國、美國、加拿大、巴西等地。而在國內(nèi)，有約十萬臺TP-Link路由器存在后門缺陷，受影響用戶達到百萬級別。

　　◆ 相關(guān)閱讀

　　一套路由器授權(quán)費僅幾分錢

　　“路由器劫持這個事年年都有，但各大廠家往往是等漏洞被曝出來，才去修復(fù)，平時也不會主動去請技術(shù)人員來檢測產(chǎn)品固件是否有漏洞，業(yè)內(nèi)的安全防范意識不夠�！� 一位路由器廠家的資深人士說道。

　　記者了解到，目前在各大廠家更加注重的是企業(yè)級高端設(shè)備的安全防范，對出貨量巨大的家用網(wǎng)關(guān)市場，往往掉以輕心：“但黑客從去年開始偏偏就盯上了這個小眾系統(tǒng)，這是各大廠商此前從未想到的�！�

　　路由器固件作為一種嵌入式的操作系統(tǒng)，在家庭網(wǎng)關(guān)等民用設(shè)備上很少受到重視，各大路由器廠家都是在朝上游芯片廠商、第三方軟件公司采購來成熟方案，在此基礎(chǔ)上進行二次開發(fā)：“像TP-Link、騰達等知名廠商，基本是從第三方公司買來的固件，在芯片廠商提供的系統(tǒng)上做了二次開發(fā)。 博通 、MTK等芯片廠商在提供產(chǎn)品時，本身也會集成一個較為初級的底層操作系統(tǒng)，目的是為了把芯片的所有功能完整地演示一遍，讓各家廠商拿回去自己做開發(fā)。但很多廠商為了省事，直接買回來一套系統(tǒng)，稍作適配修改后就推向市場�！蹦陈酚善鲝S商人士透露。

　　據(jù)該人士透露，這種路由器操作系統(tǒng)的成本價格較低，按照授權(quán)收費來算，每臺設(shè)備的系統(tǒng)成本在幾角錢以內(nèi)，出貨量巨大的廠家甚至可以談到按分計費，“這個反倒成了問題的根源。因為大家用的都是那幾家公司的固件方案，一旦出了漏洞誰都跑不掉�！�