别被家用路由器“劫持”了：厂商留有后门

来源：腾讯科技

2014/3/17 16:57:58

上网遇到广告弹窗，网页被跳转赌博网站；QQ网银无缘无故被盗……很多人不知道，这些作恶的源头多起于家中那台小小的路由器。

上网遇到广告弹窗，网页被跳转赌博网站；QQ网银无缘无故被盗……很多人不知道，这些作恶的源头多起于家中那台小小的路由器。记者调查发现，TP-Link、D-Link、腾达、网件等主流路由器品牌的多款产品，均使用了存在缺陷的漏洞固件、弱密码设置，导致黑客们可以轻而易举获得管理员权限。而在路由器劫持的背后，一条聚集了黑客、第三方平台、广告主的灰色产业链，已经悄然形成。

密码被盗，谁之过？

用户投诉：上网行为被“绑架”，打开百度却弹出黄色网站。

技术专家：路由器被劫持，一种原因是密码设置太过简单，另一种则是路由器留有后门。

“一打开百度、京东就自动变成黄色网站，重启了好几次路由器都没用。到了晚上更加猖狂，只要一开电脑就有浏览器弹窗广告，最后只有拔网线！”用户小勇对记者抱怨道，按网上的方法重新设置路由器、跟宽带运营商反映后也没有效果，甚至前几天连QQ账号都被盗了。“网上说是DNS劫持，但我路由器设置的是个数字+字母混合的长密码，怎么也会被轻易盗取？”

事实上，小勇遇到的这种情况，正是黑客利用路由器的漏洞，进入后台篡改了DNS地址，把用户要访问的正常页面劫持到自己服务器上，盗取网银、QQ等重要个人信息。

北京知道创宇信息技术有限公司研究部总监余弦告诉记者，目前路由器被劫持的原因主要有两种，“一种是用户路由器的管理界面密码太过简单，另一种就是厂家路由器的固件存在后门，黑客可以绕开管理界面的密码验证，直接入侵后台篡改DNS地址。”

由于这两个漏洞的存在，用户面对恶意劫持难以防范：黑客事先在某些网页上植入恶意代码，当用户访问这个页面，这段代码就已入侵路由器，在后台悄悄篡改了DNS地址。去年，国家互联网应急中心曾发布公告，称出现针对TP-Link路由器的域名劫持，攻击方式也如出一辙：使用TP-Link路由器admin/admin等默认账号/密码的用户，只要浏览黑客所掌控的网页，其域名解析服务器IP地址就会被黑客篡改，指向境外某个服务器。

即使用户使用了长字符管理密码，也会被黑客轻易攻破：“因为黑客可以绕过验证步骤，拿到最高管理权限。甚至有部分路由器厂家，默认设置开启远程访问、暴露了路由器的公共网络IP，也就是说可以远程控制路由器。” 余弦说道。

黑色产业，谁参与？

广告平台：可定向“绑架”全国任意省份的上网用户，1000个广告弹窗收费50元。

一边是黑客们大肆篡改、劫持用户路由器的DNS地址，另一边广告主、商业网站也在暗地里推波助澜，一条完整的产业链已经形成。

3月11日，记者以投放广告的名义联系到一家DNS广告平台，其自称不受网站、网址限制，任何网页均可展示广告，甚至竞争对手网页。广告由DNS直接发送，不会被屏蔽，受众总量超过8000万，日均活跃用户超过1500万，可定向捆绑全国任意省份的用户。

责编：郑雄