物联网(IoT)设备在过去几年中变得越来越普遍,但它们经常容易受到黑客的攻击。研究人员最近在13个NAS和路由器上发现了125个安全漏洞。据信,这些漏洞影响深远,可能会影响许多类似的设备。
独立安全评估员(ISE)的研究人员于2013年开始调查。他们的第一轮研究主要针对用于家庭办公室的NAS和路由器。他们的第二轮标题为“SOHOpelessly Broken 2.0”评估了各种设备中的安全漏洞。他们选择了13种设备,“从为一般消费者设计的设备到为企业用途设计的高端设备。”他们测试了以下设备:
BuffaloTeraStation TS5600D1206
SynologyDS218j
TerraMaster F2-420
ZyXELNSA325 v2
Drobo5N2
Asustor AS-602T
希捷STCR3000101
QNAPTS-870
联想ix4-300d
华硕RT-AC3200
Netgear Nighthawk X10 R9000
TOTOLINK A3002RU
小米米路由器3
所有设备都使用最新固件进行了更新,然后使用“开箱即用配置”进行了测试。研究人员能够获得对列表中几乎所有设备的远程根级访问。Asustor AS-602T,Buffalo TeraStation TS5600D1206,TerraMaster F2-420,Drobo 5N2,Netgear Nighthawk R9000和Zioncom TOTOLINK A3002RU均未经任何认证即被利用。每个经过测试的设备至少包含一个Web应用程序漏洞一些比较流行的漏洞包括文件上载路径遍历和跨站点脚本(XSS)。
值得注意的是,只有少数公司承认了研究人员的发现。Zionconm,Drobo和Buffalo没有回应ISE。值得庆幸的是,其他公司要么修补了安全问题,要么正在努力改进它们。研究人员还希望制造商开始进行更严格的评估。通过一些基本测试或通过更完全开发的bug赏金程序,可以发现许多漏洞。
D-Link最近被联邦贸易委员会(FTC)起诉,涉及路由器和IP摄像机的安全问题。这家台湾公司被指控让他们的客户容易受到袭击者的攻击。D-Link和FTC达成和解今年夏天,D-Link承诺将遵循由第三方管理的十年安全监督计划。