上周末,国家互联网应急中心发布的“2013年我国互联网网络安全态势综述”报告(以下简称报告)显示,有多家路由器厂商的产品存在“后门”,其中包括思科、腾达、D-LINK等多家品牌。有业内人士透露,一些路由器厂商为方便日后调试和监测,生产时会在产品上保留“后门”。法律人士指出,这种做法损害了用户权利,因“后门”造成的损失应由路由器厂商承担。
业内人士:有路由器厂商生人为留“后门”
上周末,国家互联网应急中心发布报告显示,有多种路由器存在“后门”。据了解,路由器安全问题不仅能影响网络正常运行,还可能导致企业和个人信息泄露。
那这些“后门”是怎么来的呢?
有电信设备厂商内部人士对记者表示,一些路由器厂商在研发成品时,为了日后调试和检测更方便,会在产品上保留一个超级管理权限,这个超级权限一旦被黑客所发现并破解,就意味着黑客可以直接对该路由器进行远程控制。
报告显示,以D-Link为例,受“后门”影响的D-LINK路由器在互联网上对应的IP地址至少有1.2万个,大量用户受到影响。另外,据多家媒体报道,如今很多路由器厂商实际上都是采用的同一种芯片解决方案,也就是说,如果最初的软件系统层面存在后门,那么中枪的会是多个品牌的多种产品。
用户不升级路由固件或因操作不便
对于路由器被曝存在“后门”一事,腾达昨日在其官方微博上称,“关于留后门这个说法肯定是不存在的。”而思科、D-Link等路由厂商截止发稿未对其部分产品存“后门”一事作出表态;对于漏洞,腾达在微博上表示,信息技术更新快,漏洞有存在的可能性,路由固件升级一方面就是针对可能存在的漏洞问题的。
从腾达回应中不难看出,升级路由固件或是降低安全风险的一个办法。多位安全专家也建议,应实时关注路由器生产厂家官方网站,看到有漏洞“补丁”升级公告时要及时升级。
不过普通用户或很难做到这一点。中新网IT频道从多名路由用户得到反馈大多是“从来就没有升级过路由固件”。 360网络安全工程师安扬认为,路由器的设置操作对普通网民来说过于复杂,这导致用户难以进行必要的安全设置,带来极大安全隐患。
另一方面,即便用户“惦记”升级路由固件,如果路由厂商不及时提供升级服务也等于零。据报告显示,发现路由器漏洞后,CNVD(国家信息安全共享平台)及时向相关路由器厂商通报威胁情况,但截至2014年1月底,仍有部分厂商尚未提供安全解决方案或升级补丁。
法律人士:因路由器“后门”、漏洞造成的损失应由厂商承担
就路由器被爆存“后门”和漏洞一事,知名IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领接受中新网IT频道采访时称,为了方便日后检测和调试,路由厂商人为设置“后门”,归根这是路由器本身的安全问题,用户一旦因路由“后门”产生损失,路由器厂商应全权负责。安扬也认为,路由器是所有上网流量的关卡,路由器被黑客控制,意味着与网络相关的所有应用都可能被黑客劫持,包括加密传输的数据也不再安全,这属于路由器本身的安全问题。
赵占领还说道:“随着技术的发展,虽然没有任何路由器能做到永无漏洞,但是在现有的技术范围内,路由器厂商有义务通过‘升级’等手段来保证其产品的安全。路由厂商明知有漏洞却无作为或‘升级’不及时而对用户造成的损失,将由路由器厂商承担。”