安全技術(shù)廠商Independent Security Evaluators(以下簡(jiǎn)稱“ISE”)研究人員杰克·霍爾科姆(Jake Holcomb)在Defcon 21黑客會(huì)議上表示，更多主流品牌無(wú)線路由器被發(fā)現(xiàn)存在缺陷，而且沒(méi)有得到修正。

霍爾科姆說(shuō)，無(wú)線路由器的安全問(wèn)題比ISE 4月份發(fā)布的報(bào)告要嚴(yán)重。最新的研究顯示，無(wú)線路由器“極其容易受到攻擊。不能保護(hù)用戶網(wǎng)絡(luò)和數(shù)字資產(chǎn)的安全”。

霍爾科姆及其同事在報(bào)告中披露了56處新的安全缺陷，其中包括華碩、D-Link和TrendNet等主流品牌。也許有些用戶抱有僥幸心理，認(rèn)為自己未必會(huì)受到影響。但霍爾科姆解釋說(shuō)，因?yàn)榇蠖鄶?shù)路由器存在缺陷，而且很難修正，幾乎所有使用路由器的用戶都面臨遭到攻擊的風(fēng)險(xiǎn)。

通常情況下，小型企業(yè)和家庭用戶設(shè)置的路由器密碼強(qiáng)度都比較低，或者在多個(gè)場(chǎng)所使用相同的密碼，使黑客有可乘之機(jī)。霍爾科姆對(duì)修正路由器和傳統(tǒng)PC的缺陷進(jìn)行了比較，“大多數(shù)情況下，Windows和Mac支持自動(dòng)更新。即使路由器支持自動(dòng)更新，也很少有用戶使用。”

因?yàn)槿藗兌颊J(rèn)為路由器是一種“一勞永逸”型的產(chǎn)品，不存在安全缺陷。讓用戶對(duì)路由器固件升級(jí)幾乎是不可能的。

對(duì)路由器升級(jí)并非易事。霍爾科姆說(shuō)，“我認(rèn)為使路由器自動(dòng)升級(jí)是一種解決方案，可以讓用戶選擇不對(duì)路由器進(jìn)行升級(jí)。”但是，由于主流路由器廠商對(duì)此態(tài)度消極，因此未來(lái)數(shù)年這一問(wèn)題可能得不到解決。

霍爾科姆說(shuō)，普聯(lián)TP-Link修正了ISE通報(bào)的所有安全缺陷，但部分廠商并未做到這一點(diǎn)。他指出，在公開(kāi)缺陷信息前，ISE會(huì)向相關(guān)廠商通報(bào)信息，使廠商有時(shí)間修正缺陷。