1月20日,一群计算机学霸在小编面前瞬间把一个小米路由器给黑了,顺便盗窃了用户的银行卡!我整个人都不好了!而这个学霸竟然是一个交大大三的学生!
整个过程是这样的,用户美滋滋地把一个新的小米路由器Mini连上了网,并且设置了上网密码和管理员密码,也就是说这两个密码是不同的。上网密码可以给每个人连wifi用,管理员密码能对路由器进行设置。
但你把上网密码告诉了黑客,也就是说在公共场合,比如咖啡馆,店员把密码贴在墙上每个人可用时,悲剧正一步步到来!
坐在对面的小鲜肉黑客淡定地打开了一个事先已经设好的程序,打了几行字母,不要问我是什么,姐读文科。然后在一分钟之类,界面上就显示了success,表示攻击已经成功。
然后以下对话请体会一下技术男和文科女的差距:
技术男:这就好了,我已经完成了对这台路由器最高权限的控制。(淡定)
文科女:什么叫最高权限?(故作镇定)
技术男:就是我已经获取了路由器的root权限,并且可以用污染DNS的方式对用户的信息进行窃取。(淡定)
文科女:能说得通俗点吗?(内心OS:说人话!说人话!说人话!)
技术男:就是我可以监控所有用户的行为,包括上网,包括各种密码。
然后我们试验了一下,当用户打开中国银行的网站时,其实跳出来的是一个黑客提前设置的和真网站一模一样的山寨网站,然后你信以为真,一输入任何信息都必须通过路由器,所以也等于是直接在黑客电脑上显示出来。
是不是风中凌乱了!
通常来说以前我们所受的网络安全教育都说的是不要连上假wifi,比如说i-Shanghai,它起了个名叫i-shanghai,S小写了。这种情况下,假wifi的避免方法就是,你只要睁大你明亮的慧眼,基本上还不会上当。
可如果一旦公共场合连上了一个真的官方的wifi,但其实存在路由器的安全隐患,就很可能会被盗取信息了。然而其实不仅仅是小米一家,10月24日,在全球最大的关注智能生活的黑客赛事GeekPwn现场,多名白帽黑客联合演示了360、小米、联想、D-link、TP-link等十个品牌的路由器被攻破的场景,上演了智能路由大擂台。
我们不难想象,一旦智能路由器的漏洞被黑帽黑客发现和利用,那么所有接入的设备都会成为陷阱。所幸在活动结束后,GeekPwn组委会会提交漏洞报告给负责任的厂商,以帮助厂商尽早修复漏洞。
随便列举一下,看看你家的路由器中招了吗?
• D-Link DAP-1360
• 小米路由器 mini
• 360安全路由P1
• TP-Link WDR5600
• Newifi mini
• 小米路由器R2d
• 极路由3
那么到底应该怎么预防呢!专家说了,第一,家里的网站不要随便透露密码给别人,因为黑客利用路由器漏洞的第一前提就是要一起联网。如果他不知道密码,等于先关上了第一道安全阀门。
第二,但是如果是公共场合,怎么办呢?因为消费者一般更信任类似酒店、餐馆等自己的wifi,然而这类wifi却因为路由器的问题,其实隐患不小。而春节将至,如果举家出游或者朋友聚餐,更加加剧了手机等智能终端中招的风险。
安全专家的建议是尽量用3G,4G!不要随便连wifi,尤其不要在公众场合上一些支付网站或者银行网站。
不过安全专家同时表示,除了只使用wifi浏览新闻信息外,还可以通过网站的协议来判断真伪。对于网银等涉及资金的网站通常使用https协议,即网站地址以https开头,而假的钓鱼网站的地址则是http开头。
(看看新闻网记者:谢倩)
剑网行动举报电话:12318(市文化执法总队)、021-64334547(市版权局)
Copyright © 2016 Kankanews.com Inc. All Rights Reserved. 看东方(上海)传媒有限公司 版权所有