德國著名的弗勞恩霍夫通信學(xué)院(FKIE)的最新研究表明，許多知名品牌家用路由器都使用舊的，過時的Linux操作系統(tǒng)，包括已發(fā)布的漏洞。 登錄密碼存儲在固件中，這突出顯示了對家庭網(wǎng)絡(luò)安全性的擔(dān)憂。

這家研究機構(gòu)分析了全球7個知名廠商，包括華碩、合勤、友訊(D-Link)、Linksys、TP-Link、AVM及Netgear出品的127款家用路由器產(chǎn)品，并以他們自行研發(fā)的固件分析工具來分析這些設(shè)備固件何時更新、用什么操作系統(tǒng)、有多少已知重大漏洞、廠商用什么方法緩解攻擊及多久激活一次、固件鏡像文件是否包含加密密鑰信息，以及是否有什么寫死(hard-coded)的登錄帳密等等。而研究結(jié)果顯示，沒有一臺路由器是沒有漏洞的。

FKIE發(fā)現(xiàn)，在127臺受測產(chǎn)品中，有46臺過去一年都沒有發(fā)布安全更新。

90%以上的產(chǎn)品使用Linux，但是超過1/3使用的是2.6.36以前的版本，那至少是2011年2月以前的版本。AVM是唯一一家未曾使用Linux 2.6版以前的廠商，半數(shù)使用4.4版Linux Kernel。而Netgear、TP-Link有半數(shù)使用2.6.36版核心，合勤甚至有25%使用2.6.35版本核心。

老舊操作系統(tǒng)可能帶有許多安全漏洞，促使研究人員計算這些路由器固件鏡像文件中的已知Linux重大安全漏洞。這127臺設(shè)備平均有53個重大風(fēng)險漏洞，即使表現(xiàn)最好的產(chǎn)品，也有至少21個重大風(fēng)險或348個高度風(fēng)險漏洞。高度風(fēng)險最多的是Linksys WRT54GL，有579個，它使用的Linux核心是所有受測產(chǎn)品中最舊。而合勤的Zyxel NBG6816及Zyxel NBG6815，則并列最多重大風(fēng)險漏洞的產(chǎn)品，漏洞數(shù)各有68個。

研究人員也查看家用路由器產(chǎn)品的固件，是否包含私有密鑰可能被黑客訪問。結(jié)果顯示，127臺設(shè)備中平均泄露的私鑰信息為5種，其中Netgear R6800總共公開了13種信息，為所有產(chǎn)品之冠。只有AVM的固件鏡像文件不會公開任何密鑰信息。

物聯(lián)網(wǎng)僵尸病毒Mirai利用寫死(hard-coded)的登錄憑證或密碼來入侵許多聯(lián)網(wǎng)設(shè)備，因而成為本研究的另一查看標的。華碩、合勤及友訊在內(nèi)的6成產(chǎn)品固件鏡像文件中，都不包含寫死的登錄憑證和密碼，但仍有50臺包含寫死的憑證，其中16臺還使用廣為人知或極易破解的憑證。最不安全的是Netgear RAX40，使用password、amazon作為登錄密碼。華碩則是唯一在固件鏡像文件中，不存儲任何寫死憑證和密碼的廠商。

至于廠商使用了多少保護嵌入式設(shè)備的緩解技術(shù)，研究顯示AVM使用的防護最多，而友訊最少。整體而言，研究人員結(jié)論AVM最安全，華碩和Netgear在某些方面表現(xiàn)優(yōu)于友訊、Linksys、TP-Link及合勤。

這份報告或許也反映近日的路由器安全事件。6月底安全廠商ZDI披露79款Netgear R6700系列路由器含有允許黑客執(zhí)行任意程序的安全漏洞，Netgear在1月就接獲通報，但6個月后仍未完成修補。