路由器的安全问题仍常被广大用户忽视 记者 张路桥 摄 流量监听后,电脑打开任何网页,手机上都有相应记录。可自由发布微博,删改个人资料、信息。 实验对象 使用无线路由器上网的电脑 实验目的 验证能否攻入路由器,并盗取电脑里的资料 实验人员 网友"Evi1m0"、本报记者 商报记者 饶方婧 实习生 杜文颖 "如果路由器被人蹭网,他会不会威胁到我?如果路由器被恶意的陌生人连接后,他们能做什么?"近日,知乎网上的这道问题引来了1833人的关注。 3月16日,网友"Evi1m0"在知乎网上爆料了如何攻下隔壁"女神"的路由器,并黑进其电脑、手机的过程。这场"实战"也在网上引发了一场人们关于路由器安全问题的讨论。 实验一 密码会否攻破? 记者联系上了网友"Evi1m0",刘彦硕,FF0000 TeAm创始人,目前就职于北京知道创宇信息技术有限公司,他通过QQ对话和实时截图的方式向记者还原了整个攻破过程。 "首先找对入口,也就是对方的Wi-Fi。"打开无线信号后,刘彦硕用了一款基于linux操作系统的破解工具,在导入密码字典之后,开始进行破解。他告诉记者,破解密码的门槛很低,使用的软件和密码字典从网上就能下载到。 5分钟之后,他就成功破解了无线密码,连接到了对方的路由器,在进入路由器的WEB管理界面后,查看到了连接该网络的所有设备。 "对方登陆录何网站,我都能同时登入。其一举一动,我全部能看到。"刘彦硕告诉记者,虽然无法看到对方的账号、密码,但是他能劫持已登录的账户。 实验结果:成功破解密码,侵入路由器。 实验二 能看到隐私吗? 按照刘彦硕的方法,记者用一部刷机后的安卓手机对一台笔记本电脑进行了监听实验。 记者首先将预装了某黑客软件的手机和一台系统正常的笔记本电脑连接上同一无线网络。打开手机上的黑客软件后,连接该无线网络的所有设备均在手机上显示。 记者选择了笔记本电脑对其进行流量监听。在监听过程中,笔记本电脑上打开的任何网页,在手机上都有显示。选择显示为"weibo"的网页进行会话劫持后,无需任何账号、密码,手机就自动登录到了网页版微博个人账户,并且可以自由发布和删改个人信息。 刘彦硕说,"这还只是简单的劫持,可怕的事在后面,随着监听深入,个人隐私就会一层一层的曝光。" 实验结果:成功登上对方的微博。 后果分析 电视能被控制 银行资金也不安全 在那场"实战"中,刘彦硕通过将个性化域名地址和获取到信息加以组合,不仅得到了女神的手机号码、照片,微博、微信、QQ号、人人网账号等,还能通过已连接无线路由器的影视盒子,控制对方的电视。 除了个人隐私被窥探,360安全专家石晓虹博士在接受记者采访时也表示,黑客还可以恶意篡改路由器DNS。"这意味着用户访问的银行官网地址,有可能是人为制作的虚假的钓鱼网站,盗取银行账号、密码。" 据360互联网安全中心的检测数据显示,在最近的一周时间内,360安全卫士"家庭网络管理"功能的使用量达到914万次,修复被黑客篡改DNS的路由器46.8万台,占检测总量的5.1%。 尽管如此,路由器的安全问题仍常被广大用户忽视。 安全提醒 路由器 如何防破解 那么,平日生活中,市民该如何防范日益严重的路由器劫持安全问题呢?360互联网安全中心的专家和网友"Evi1m0"向大家支招如下: 1、在设置家用路由器的无线密码时,选择WPA2方式,密码设置得越复杂,黑客破解的难度就会高。2、路由器管理网页登录账户、密码,不要使用默认的admin,可改为字母加数字的高强度密码。3、在设备中安装具有ARP局域网防护功能的安全软件,防止被黑客蹭网劫持。4、常登录路由器管理后台,看看有没有不认识的设备连入了Wi-Fi,如果有,及时将其清除。5、不要随便告诉不可信人员你的无线密码。6、移动设备不要"越狱"或ROOT,连接来路不明的无线网络。