100多台Wi-Fi路由器未通过重大安全测试--立即保护您自己

最近发布的一份报告称，在德国著名的弗劳恩霍夫研究所(Fraunhofer Institute)的一项大规模研究中，几乎所有家用Wi-Fi路由器都存在严重的安全漏洞，路由器制造商很容易修复这些漏洞。

弗劳恩霍夫研究所在一份新闻稿中说，几乎所有人都被发现存在安全漏洞，其中一些非常严重。问题范围从丢失安全更新到容易解密的硬编码密码，以及早就应该打补丁的已知漏洞。

该研究所使用自己的分析软件，测试了目前在欧洲销售的117款家用Wi-Fi机型的最新可用固件，这些机型包括来自华硕、D-Link、Linksys、Netkit、TP-Link、Zyxel和德国小型品牌AVM的路由器，但这些机型本身并未经过物理测试。

有关经过测试的型号和固件的完整列表，请访问GitHub。该研究所未能检查另外10款机型的固件，其中大部分来自Linksys。报告指出，许多固件更新都是在没有修复已知缺陷的情况下发布的。

由于这项研究始于3月下旬，并检查了3月27日可用的固件，因此不会包括Netkit在6月下旬发布的数十个固件热修复程序，以纠正一系列缺陷。

与此同时，华为路由器没有受到检查，因为该公司没有公开提供其路由器固件，也没有检查ISP发布的路由器和网关，因为ISP将固件开发外包给了许多第三方。

这并不是这类调查的第一次。2018年12月，另一项关于路由器安全的研究发布了类似的可怕报告，但在随后的18个月中几乎没有看到任何改善。

那么您能做些什么呢？您可以确保您购买的下一台路由器自动安装固件更新。您可以检查您当前的路由器是否这样做，或者使手动安装固件更新变得相当容易。

您还应确保路由器的管理密码已从出厂默认密码更改。(请查看https://www.routerpasswords.com.)上的默认密码列表。您还应该检查其管理界面，以确保禁用了UPnP和远程访问。

如果您的路由器是5年前首次发布的，请考虑购买较新的型号，除非它满足上述所有标准。(以下是我们选出的最佳Wi-Fi路由器。)。

或者，您也可以尝试使用闪存来运行更安全的开源路由器固件，如OpenWRT、DD-WRT或Tomato。

到目前为止，AVM在接受检查的七家制造商中是最好的，尽管它并不是没有缺陷。华硕和Netkit表现不佳，但不如D-Link、Linksys、TP-Link和Zyxel糟糕。

这些缺陷包括过时的固件(D-Link DSL-321B Z自2014年以来就没有更新过)；过时的Linux内核(Linksys WRT54GL使用2002年的内核)；未能实施通用安全技术(AVM在这里比其他技术做得更好)；固件中嵌入的私钥，因此任何人都可以找到它们(Netkit R6800有13个)；以及允许完全接管设备的硬编码管理用户名和密码(只有华硕没有)。

弗劳恩霍夫的报告总结道，没有一台路由器是没有缺陷的，也没有一家供应商在所有安全方面都做得尽善尽美。要使家用路由器与当前的台式机或服务器系统一样安全，需要付出更多的努力。

有几个路由器在研究中被点名，你绝对不应该使用，即使看起来你仍然可以买到它们。

报告称，关于高度严重的CVE[广为人知的缺陷]，最糟糕的情况是Linksys WRT54GL采用了我们研究中发现的最古老的内核，并指出该型号使用了2002年的2.4.20内核。"；有579个严重程度较高的CVE影响此产品。"；

该特定型号的固件上一次更新是在2016年1月，这是研究中最古老的固件之一。Linksys WRT54GL于2005年首次发布，尽管它只处理高达802.11g的Wi-Fi协议，但至今仍在销售。

然而，WRT54G系列可能是有史以来最畅销的Wi-Fi路由器系列。WRT54GL的持续吸引力可能是因为它的可靠性声誉，以及它很容易闪现就能运行开源固件的事实--OpenWRT固件最初是为了在这一系列路由器上运行而开发的。(工业和信息化部电子科学技术情报研究所陈冯富珍译为“WRT54GL'；WRT54GL##”)。

这并不是说其他型号在运行最新的Linux内核方面做得更好。(研究中90%以上的路由器运行Linux。)。到目前为止，Linux内核最常见的版本是2010年发布的2.6.36。只有AVM没有运行任何2.x内核，其最早版本是2013年的3.10.10。

然而，报告指出，超过一半的AVM设备运行的内核版本已不再维护。

Linux一直在其内核中构建新的安全功能，在Linux设备上更新内核并不是那么困难。Linux PC和服务器发行版的制造商一直都在这么做。

虽然在Fraunhofer测试时(2020年3月27日)最新的Linux内核是5.4版，但没有一台测试的路由器使用的是2016年4.4.60以后的版本。(AVM和Netkit使用了那个。)。

研究员约翰尼斯·沃姆·多普(Johannes Vom Dorp)在弗劳恩霍夫的新闻稿中表示，Linux一直在努力填补其操作系统中的安全漏洞，并开发新的功能。制造商所要做的就是安装最新的软件，但是他们没有把它集成到他们能够而且应该集成的程度。

另一款禁忌机型是Netkit R6800，如上所述，它的固件中嵌入了多达13个硬编码的私人安全密钥。

它的最后一次固件更新是在2019年8月，在新的固件可用之前，我们不想使用它。(这款机型不是6月下旬Netkit热修复系列的一部分。)。

私钥是管理互联网安全的机制的重要组成部分，路由器将使用私钥来启动安全传输和验证固件更新。他们需要严密保守秘密才能有效，但如果密钥可以在路由器的固件中找到，那么这一点就会被很好地破坏。

报告称，这意味着任何攻击者都可以冒充该设备进行中间人攻击。"；这些密钥与同一型号的所有设备共享。*这意味着在固件中发布的一个私钥会使数千个设备处于危险之中。"；

只有AVM的所有固件映像中的私钥为零。NETGEAR拥有最多。

然后是D-Link DSL-321B Z，它自2014年8月以来就没有进行过固件更新。总共有46款机型在一年多的时间里没有收到更新，尽管大多数都是在前两年内收到的。

报告称，如果供应商很长一段时间没有更新固件，那么可以肯定的是，该设备中存在几个已知的漏洞。反之亦然。

就可用的安全保护而言，AVM显然是在其设备上部署这些保护的最佳选择，Netkit远远落后于Netkit，这些安全保护太过技术性，不能在这里讨论。D-Link表现最差。

但同样，这些保护中的大多数都是Linux个人电脑和服务器上的标准保护，甚至在Android手机上也是如此。没有真正好的理由不能在更多的路由器上使用它们。