Nämä suositut Wi-Fi-reitittimet ovat turvallisuuden painajaisia
IoT Inspectorin tietoturvatutkijat tekivät yhteistyötä CHIP Magazinen kanssa testatakseen yhdeksää suosituinta kodin Wi-Fi-reititintä hyväksikäytön ja haavoittuvuuksien varalta. Tulokset ovat hämmästyttäviä – nämä reitittimet eivät ole vain huonosti suojattuja, vaan ne kärsivät haavoittuvuuksista, jotka tietoturvatutkijat tunnistivat ensimmäisen kerran kuukausia tai vuosia sitten.
IoT Inspectorin ja CHIPin testaamat reitittimet tulevat ASUS:lta, AVM:ltä, D-Linkiltä, Edimaxilta, Linksysiltä, Netgearilta, Synologylta ja TP-Linkiltä. He kaikki käyttivät valmistajansa laiteohjelmiston uusinta versiota, ja on hyvä mahdollisuus, että näiden reitittimien haavoittuvuudet ovat olemassa samojen merkkien muissa malleissa.
Tässä ovat IoT Inspectorin ja CHIP Magazinen yksityiskohtaiset havainnot, mukaan lukien hyviä uutisia, jotka todistavat tämäntyyppisen tutkimuksen tärkeyden.
IoT Inspectorin ja CHIP-lehden havainnot
Tämän kaavion vasemmalla puolella olevat osat on käännetty saksasta. IoT-tarkastaja, CHIP
Ennen kuin käsittelemme kaikkia näiden suosittujen reitittimien kauheita puutteita, minun on käytettävä hetki ja selitettävä, kuinka IoT Inspector suoritti nämä testit. Katso, IoT Inspector on ohjelmistoyritys, joka myy automatisoitua tietoturva-analyysityökalua reitittimille ja muille yhdistetyille laitteille.
IoT Inspector suoritti jokaisen reitittimen laiteohjelmiston tämän automatisoidun työkalun kautta yli 5 000 CVE:n ja muiden tietoturvaongelmien testaamiseksi. Tässä on mitä se löysi:
Tässä ovat IoT Inspectorin ja CHIP:n testien tulokset:
- Yhdeksässä reitittimessä on yhteensä 226 virhettä.
- TP-Linkin Archer AX6000 on suurin rikollinen, ja se kärsii 32 tietoturvavirheestä.
- Synologyn RT-2600ac on lähellä toista, ja siinä on 30 tietoturvavirhettä.
- Suurin osa tunnistetuista tietoturvapuutteista on "korkean" tai "keskikokoisen" riskin aiheuttamia.
- Jokainen testattu reititin kärsii tunnetusta haavoittuvuudesta, joka jätettiin korjaamatta.
Vaikka tutkijat eivät jakaneet paljon yksityiskohtaista tietoa näistä tietoturvavirheistä ja -virheistä, he julkaisivat D-Linkin DIR-X460-reitittimestä löydetyn kriittisen haavoittuvuuden . Tässä on asian lyhyt: IoT Inspector löysi tavan lähettää haitallisia laiteohjelmistopäivityksiä D-Linkin DIR-X460:een purkamalla sen salausavaimen.
Lisäksi IoT Inspector ja CHIP julkaisivat joitain yleisimmistä näissä yhdeksässä reitittimessä löydetyistä virheistä:
- Heikot oletussalasanat, kuten "admin".
- Kovakoodatut valtuustiedot kiputekstissä – tiedäthän, salaamaton data.
- Vanhentunut Linux-ydin reitittimen laiteohjelmistossa.
- Vanhentuneet multimedia- ja VPN-toiminnot, joita voitaisiin hyödyntää.
- BusyBoxin vanhojen versioiden käyttö.
Muista, että kuka tahansa voi suorittaa nämä testit, mukaan lukien reitittimien valmistajat. On selvää, että täällä testatut yhdeksän tuotemerkkiä eivät käytä aikaa tuotteidensa asianmukaiseen suojaamiseen.
Hyvä uutinen: valmistajat käsittelevät ongelmia
Sarah Chaney
CHIP Magazinen mukaan jokainen yhdeksästä reitittimen valmistajasta vastasi näihin testeihin ja julkaisi laiteohjelmistopäivityksiä tuotteidensa haavoittuvuuksien korjaamiseksi. Suurin osa näistä korjauksista koskee "vähäriskisiä" haavoittuvuuksia, mutta se on hyvä alku.
Tässä on kunkin valmistajan tämän tutkimuksen jälkeen toteuttamat toimenpiteet. Huomaa, että nämä luettelokohdat on käännetty CHIP:n raportista, joka on saksaksi.
- ASUS: ASUS tutki havaintojamme ja esitti meille yksityiskohtaisen vastauksen. ASUS korjasi vanhentuneen BusyBoxin, ja siellä on nyt päivitetty "curl" ja verkkopalvelin. Salasana-ongelmat, joista varoitimme, olivat väliaikaisia tiedostoja, jotka prosessi poistaa, kun se lopetetaan. Ne eivät ole riski.
- D-Link: D-Link kiitti meitä vinkistä ja julkaisi laiteohjelmistopäivityksen mainittujen ongelmien korjaamiseksi.
- Edimax: Edimax ei ponnistellut liikaa näiden ongelmien tarkistamiseen, mutta julkaisi päivityksen joidenkin ongelmien korjaamiseksi.
- Linksys: Linksys käsittelee kaikki ongelmat, jotka on luokiteltu "korkeiksi" ja "keskikokoisiksi". Se välttää oletussalasanat tulevaisuudessa ja on julkaissut laiteohjelmistopäivityksen jäljellä oleviin ongelmiin.
- Netgear: Netgearin miehistö työskenteli kovasti ja tutki kaikki ongelmat. Netgear uskoo, että jotkin sen "korkean riskin" haavoittuvuuksista eivät ole iso juttu. Se on julkaissut päivityksen DNSmasqille ja iPerfille, vaikka muut ongelmat tulisi ratkaista ensin.
- Synology: Synology käsittelee Linux-ytimen päivityksen yhteydessä löytämiämme ongelmia. BusyBox ja PHP päivitetään, ja Synology puhdistaa sertifikaattinsa. Hassua kyllä, kaikki Synology-laitteet hyötyvät tästä päivityksestä.
- TP-Link: BusyBox-, CURL- ja DNSmasq-päivitys poisti monet TP-Linkin ongelmista. Se tarvitsee edelleen uuden ytimen, mutta TP-Linkin laiteohjelmistoon on suunniteltu yli 50 korjausta.
Selvyyden vuoksi IoT Inspector ei ole tarkistanut, toimivatko nämä korjaukset vai eivät. Ja vaikka ne toimisivatkin, nämä reitittimet ovat silti alttiina tunnetuille (ja todennäköisesti tuntemattomille) hyväksikäytöille.
Mitä sinun pitäisi tehdä?
Suosittelen päivittämään reitittimesi laiteohjelmiston manuaalisesti ja ottamaan käyttöön automaattiset päivitykset (jos niitä ei ole jo otettu käyttöön) riippumatta siitä, käytätkö jotakin reitittimestä, jota ongelma koskee. Näin varmistat, että reitittimesi on turvassa viimeisimmiltä hyväksikäytöiltä – tai ainakin niiltä, jotka valmistajat päättävät korjata.
Sinun tulee myös asettaa suojattu Wi-Fi-salasana ja poistaa käytöstä ominaisuudet, kuten WPS (Wi-Fi Protected Setup) ja UPnP (Universal Plug and Play), jotka avaa verkkosi haittaohjelmille ja jota FBI kritisoi säännöllisesti lukuisista tietoturvapuutteistaan.
Ja jos käytät uskomattoman vanhaa reititintä (tai NAS -laitetta), sinun tulee vakavasti harkita päivitystä. Vanhat verkkolaitteet ovat usein täynnä tunnettuja haavoittuvuuksia, joita valmistajat eivät vain välitä korjata.
Lisätietoja reitittimesi suojaamisesta on yksityiskohtaisessa oppaassamme How-To Geekissä.
Lähde: IoT Inspector, CHIP Magazine Bleeping Computerin kautta