定時炸彈「小烏龜」引爆國安危機，政府、金融、軍方網路門戶洞開

一場靜謐的資安風暴，正從你我家中不起眼的小小數據機（俗稱「小烏龜」）悄然引爆。這場危機並非來自遙遠的駭客組織，而是臺灣社會對這些網路「守門員」長期忽視，以及廠商系統性的「退而不休」所累積的惡果。

那臺由網際網路服務供應商（ISP）提供、默默地閃著燈號的灰色或黑色盒子——我們俗稱的「小烏龜」或數據機（Modem）——常被視為家庭網路的基石，更是「Tier 0」級別的設備。

但是，這些家庭和企業廣泛使用的「小烏龜」，根本就是一顆定時炸彈，因為駭客從任何地方，都可以直接存取並完整控制這些裝置，它不僅危及數萬臺灣家庭的網路安全，更驚動了警調單位，因為這些漏洞百出的裝置，早已被不法集團利用，成為詐騙集團的犯罪跳板，甚至被發現潛伏於臺灣的關鍵基礎設施之中。

趨勢科技資深威脅研究員游照臨（Steven Meow）今年稍早於美國DEF CON大會上提出警告，這些電信業者配發的數據機，無論是光纖、有線電視、電話線或行動通訊連線類型，都可能是一枚「定時炸彈」，因為駭客可以從任何地方，直接存取並完整控制它們。

廠商拒絕修復EoL的數據機，成為漏洞研究的起點

游照臨透露，這一切的契機，只是源自於他在2023年搬家時，請中華電信拉了新的網路線。基於白帽駭客的職業習慣，他決定「駭一駭」自己的新設備，確認是否安全。

他沒想到，這一下班後的「個人研究」，竟挖出了超過30個CVE（通用漏洞揭露編號）漏洞編號，這些漏洞數量龐大，橫跨多家知名製造商，包括 D-Link（友訊）、Zyxel（合勤）、Billion（盛達電業）、Nokia、韓國DASAN，以及臺灣HITRON（仲琦科技）等。%

這項研究並非游照臨首次發現漏洞，但讓他意識到問題嚴重性的是在2023年，聽到TXOne資安研究員Ta-Lun Yen在日本Code Blue資安會議分享的中華電信「小烏龜事件」，因該起事件的後續處理曾遭到壓制，也讓他決心揭露這潛藏的系統性風險。

他指出，企業和政府往往花費重金在內網部署多種資安防護設備，像是EDR（端點偵測與回應）或企業網路的命名與位址中樞（DDI）設備來監控流量。然而，駭客發現，這些俗稱小烏龜的數據機，卻擋在所有防火牆和防護設備的外面，成為最容易被忽視的「第一線」攻擊入口。

游照臨強調，這些漏洞多數存在臺灣製造的產品，「他買來市面上的小烏龜，經過測試，全部都發現漏洞，這就是最可怕的地方。」他說，這個研究揭示的影響範圍，包含關鍵基礎設施，去年十一月有五萬多臺，今年七月至少還有二萬三千多臺有問題的數據機，仍在網路上提供服務，到十一月則剩下八千多臺。

游照臨表示，這些數據機很多都是使用多年的舊設備，有一定程度的自然汰換，變少是正常的，但他對於這樣的汰換速度並不滿意。

他強調，這次數據機的漏洞等級是閘道器（Gateway）端的CVSS 9.8的WAN端RCE漏洞，若是以他任職的趨勢科技為例，會列為P0（Priority 0）等級，也就是輪班工程師或資安事件處理的工程師，必須要在5分鐘內給予回應；通常在30分鐘內有舊會有temporary fix（暫時性修補方式）或workaround（變通的權宜之計），大概2～8小時需要完全修復。他認為，從這個等級來看，事件發生迄今滿一年仍未處理完畢，對電信業者或企業甚至使用者而言，顯然是完全不合格的處理方式。

當然，他也可以理解相關電信業者遇到的困難，例如無法聯絡到客戶、無法安排時間等。但他認為這些電信業者仍有兩種方式，對這些事情有替代方案（workaround），第一，可以直接遠端將相關的服務端口關閉，畢竟他們對裝置擁有控制權；第二，可以比照瓦斯公司監測到家裡有瓦斯漏氣，以安全為由使用更強烈積極的態度與客戶聯繫，至少要讓客戶知情，當前他們所使用的設備具有嚴重風險。

若是站在網軍駭客角度，想要駭入國家關鍵基礎設施的話，他表示，就算掃不到任何漏洞，也會盡可能從沒有漏洞的環境挖出漏洞；而剩下的這八千多臺裝置，只要有任何一個是隸屬關鍵基礎設施，或是具有重大機敏資料的公司行號的話，對於駭客而言，就是唾手可得的目標。

他說，這有點像是大門直接開著，只是在看小偷要不要進去而已，完全不用任何高端技術。他認為，或許駭客早已駭入這些裝置且已埋好後門，從技術上來評估是完全辦得到，但有沒有發生並不得而知，但可以肯定的是，無論是竊取機敏資訊，還是成為Botnet，都是有可能的。

但游照臨認為，這場危機帶來更深一層的問題在於，「許多製造商聲稱，這些發現漏洞的小烏龜們，產品已達EoL（End-of-Life，終止產品生命週期）時，因此拒絕修補這些致命漏洞。」

更嚴峻的挑戰是，臺灣的ISP業者，例如中華電信，並不主動幫使用者更換這些已經停止支援和更新的EoL的數據機等設備，形同將資安的責任，轉嫁給缺乏專業技能的消費者。

他憂心，這件事情已經不僅是單純的資安漏洞問題，更是涉及廠商責任、ISP營運策略，以及全球網路安全的系統性失敗。

數據機常見的三種漏洞類型

游照臨此次研究涵蓋多種臺灣常用的數據機型號，包括D-Link（友訊）、Nokia（正文代工）、Zyxel（合勤）以及Billion（盛達電業），而他發現的漏洞，主要集中於三種致命類型。

第一種就是認證繞過（Authentication Bypass），駭客可以找到某種方法，在無需帳號密碼的情況下，即可控制設備的設定網頁。他表示，這通常是使用了舊軟體或設計不良所致。

第二種則是隱藏後門（Hidden Backdoors），通常是設備存在大量的隱藏後門。游照臨分析，若理性來看，這些後門可能是用於維修的通道、廠商測試時不小心留下的程式，或是ISP業者為了方便管理而要求加入的功能。

但無論設計存在任何初衷，這些後門都可能導致駭客更便於控制全世界的裝置。例如，在Billion（盛達電業）的案例中，就發現了寫死的後門帳號密碼，甚至使用了公司總部的地名「新店」（HsinDian）來命名帳號。

遠端程式碼執行（Remote Code Execution，RCE）便是第三種常見的漏洞類型，他表示，這也被視為最嚴重的漏洞類型，因為，一旦利用成功，駭客可以直接完整控制整個裝置。以D-Link（友訊）的案例顯示，駭客可以透過RCE取得設備的完全控制權。

游照臨表示，除了上述常見的三種漏洞外，其他還包括Command Injection（命令注入）、CGI Abuse（CGI程式濫用攻擊）、Console Abuse（主控臺濫用），以及其他能夠繞過ISP電信業者監控或預設功能限制的功能。

游照臨的這項研究成果極為豐碩，共揭露了超過三十個CVE編號，涵蓋2024年至2025年間的多個高風險漏洞。他強調，這些漏洞橫跨家用、企業用，甚至是一些關鍵基礎設施所使用的裝置，不僅是單純的漏洞發現，形同對整個物聯網（IoT）供應鏈安全的一次重新審視。

只要15秒就可以RCE，完成入侵

根據游照臨的研究發現，D-Link型號DSL-6740C暴露出一組足以讓整臺設備，從外網被完全掌控的致命缺陷。他在公開說明中形容這款設備的漏洞是「一切研究的開始」：從遠端就能入侵，只要知道目標IP，駭客便能一步步繞過認證、竄改設定、擷取密碼，甚至遠端程式碼執行（RCE），造成實質控制權的喪失。

游照臨更指出，他撰寫的自動化攻擊腳本只需十五秒，就可以完成整個入侵流程並取得RCE，速度之快令人警覺。

他進一步解釋，這起事件牽涉數個CVE編號的弱點，包括可繞過網頁認證的漏洞（CVE-2024-11067）、允許直接修改密碼的漏洞（CVE-2024-11068），以及可讓駭客取得設備MAC位址，進而推導出預設密碼的弱點（CVE-2024-48271）。

游照臨的研究也揭露一個關鍵設計缺失，那就是該設備的預設帳號固定為「CHT」，而預設密碼則是以MAC位址為基礎的排列組合，這種做法在資安上，等於讓駭客握住了整把鑰匙，駭客一旦能讀取MAC位址，就幾乎能橫掃整個認證機制。他表示，結合這些缺陷，駭客最終可取得RCE，形同取得設備的最高控制權。

這個漏洞在2024年9月16日已通報給TWCERT / CC（臺灣電腦網路危機處理暨協調中心），但後續處理遭遇實務上的瓶頸，同年10月23日TWCERT / CC回覆，廠商以該型號的產品已達終止產品生命週期（EoL）為由拒絕修補，導致漏洞不得不公開披露。

值得關注的是，這臺數據機也影響到臺灣政府網路（GSN），在漏洞揭露之初（2024年11月），臺灣估計有約59,000臺DSL-6740C數據機，處於可被攻擊的風險範圍；到了2025年7月底，仍有約23,000臺在線上運作，顯示大量舊型設備並未被更新或替換，持續暴露於網路威脅之下。

更令人擔憂的是，游照臨在後續調查發現，與DSL-6740C在設計與韌體上相近的機型DSL-7740C並未免疫；原先在DSL-6740C上找到的所有漏洞，竟然全部能直接套用到DSL-7740C設備上。

他指出，這正是資安圈常說的「漏洞繼承」現象，廠商在新機型上重複使用舊有軟硬體架構或韌體模組，並未徹底修正核心缺陷，便會把老問題延伸到更多裝置上，擴大了受害面與攻擊的規模效應。

通過資安標章驗證，並不代表產品安全

在臺灣的網路設備市場中，有「資安標章」長久以來被視為一種安全保證。然而，游照臨揭露，臺灣的網通品牌Billion（盛達電業）的多款設備，雖然取得官方核發的資安標章，卻仍存在多個高風險漏洞，甚至被發現內藏「寫死的後門帳號密碼」。這起事件不僅動搖了民眾對資安標章制度的信任，也凸顯部分廠商在產品安全設計上仍抱持僥倖心態。

游照臨指出，Billion旗下產品標榜通過「物聯網資安標章驗證」，理論上應符合嚴格的防護標準。沒想到實際分析後卻發現一連串令人震驚的漏洞，包含編號 CVE–2024-11980至CVE–2024-11983 的多項弱點，以及被命名為 CVE–2025-1143的隱藏後門。

這個後門的帳號名稱竟直接取自公司總部所在地「新店」（HsinDian），帳號與密碼均被寫死在韌體，他表示，這意味著：任何具備基本技術知識的駭客，只要取得設備的連線權限後，就能利用這組隱藏帳號登入系統。

更令人不安的是，這些設備採用了MQTT（Message Queuing Telemetry Transport）通訊協議，這是常見於物聯網（IoT）裝置的即時訊息傳輸技術，主要用於裝置之間的狀態同步與資料回傳，能在低頻寬環境下穩定交換資料。

游照臨認為，這臺設備最大的問題在於，一旦MQTT的認證帳密被寫死且外洩，駭客就能藉由這條管道，直接接觸到全球所有同型號設備。換言之，只要掌握這組密碼，駭客便能透過MQTT通訊協議進行網路監控、操控，甚至全面接管全球同品牌的設備。

游照臨形容，這種設計缺陷，形同在世界各地同時安裝了一扇通往駭客的後門，「駭客可以直接控制全世界所有該型號的裝置。」他說。

該漏洞被揭露後，Billion的臺灣總公司確實針對「寫死帳號密碼」問題進行修補，更新韌體並移除隱藏帳號。

不過，事情並未就此結束，游照臨後續追蹤發現，Billion在美國的子公司BEC Technologies銷售的產品（包含BEC-4700AZ與MX-200e等型號），仍然沿用相同的韌體架構與後門機制，等於漏洞被「繼承」到國際版本上。他提醒，這些設備未經修補，繼續暴露在網路中，潛在風險甚至超越臺灣本地。

然而，游照臨積極和Billion及其美國子公司進行漏洞通報，但長達三個月都未曾得到任何正式回應，也未發布修補更新。最終，由ZDI（Zero Day Initiative）接手協助處理，ZDI依程序選擇將漏洞資訊公開，編配編號CVE–2025-2770至CVE-2025-2773，以提醒全球使用者儘快採取防護措施。

廠商不願對EoL設備提供漏洞修補，資安風險轉嫁使用者

研究的過程中，游照臨也發現一個常見的現象：當設備進入生命週期終止（EoL），漏洞修補責任往往就像打了結的迴圈，產品的脆弱性則會無限期存在真實網路中。

這不是個別廠商的問題，更像一種制度與供應鏈的結構性問題，游照臨表示，從家用路由器、光纖ONU（Optical Network Unit，光網路單元）到電信業者採用的CPE（Customer Premises Equipment，客戶端設備），都可能被同一條邏輯牽動——當廠商宣布停止支援，使用者與下游業者便被迫承擔未來所有安全風險。

以Zyxel（合勤）P-6101C為例，游照臨在研究中指出，該型號的漏洞最初遭到廠商以EoL為由而拒絕更新。

他表示，廠商這種回應在資安社群並不罕見，但當漏洞足以危及WAN端的遠端入侵或被利用於大規模攻擊時，廠商的「不修補」，不只牽涉個人面臨的風險問題而已，而是已經擴大到公共領域的安全問題。

因此，游照臨便與MITRE聯繫，經由他們的從中協調與「強力建議」後，合勤最後才同意公開CVE。不過，他也體會到，當前的漏洞回報機制，在面對廠商 消極針對EoL產品提供後續修補時的無力感。

相似的情況也出現在大型電信設備上，像是他通報Nokia的G-040G-Q漏洞後，業者回應並非立即修補，而是在2025年3月，將兩項由ZDI通報的弱點（ZDI-CAN-26007、ZDI-CAN-26648），標示為「弱點」（Weakness）而非「漏洞」（Vulnerabilities），因為廠商認定這只是「客戶要求的一種認證方式」，並要求游照臨不要公開。

隨後Nokia又改口，聲稱該漏洞已於2025年1月的Release Note（發行說明）中完成修復；但是，Nokia卻表示，該Release Note屬於內部文件，並不會對外公開。對此，游照臨質疑：「漏洞修補資訊如果沒公開，外界怎麼知道，廠商是否已經完成修補了呢？」

游照臨表示，廠商這種語意上的區分，在技術上可能有其理由；但在實務與風險管理上，卻造成資訊透明與使用者防護的真空，讓終端用戶與ISP業者無法掌握應對優先順序。

此外，可直接被遠端濫用的案例還包括：韓國DASAN GPON ONU H660WM（CVE-2025-44178）以及臺灣HITRON CGNF-TWN（CVE-2025-44179）兩臺設備。

前者涉及WAN端的UPnP（Universal Plug and Play，通用隨插即用）協定漏洞，UPnP本是為了便利內網裝置自動開通埠口而設計的機制，但當實作粗糙且暴露於WAN端時，原本的便利立即轉換成嚴重攻擊面。

後者則是典型的Command Injection（命令注入）攻擊，駭客一旦能在網路邊緣端注入指令，就可能橫向滲透或使裝置加入殭屍網路（Botnet），造成服務中斷或更大規模的攻擊平臺。

游照臨表示，這些事件合起來說明一個殘酷的事實：當韌體共用與跨地區產品線的「設計繼承」時，就可能會把單一漏洞放大成全球性風險；此外，當產品進入EoL時，許多廠商停止支援的商業決策，則會把技術債轉嫁給所有使用者與網路社群。

他認為，這樣的作法對個人、企業或ISP業者而言，不只是導致個別裝置可能被駭客控制，還可能造成整段網路骨幹的信任崩解。

有漏洞的數據機成詐騙集團的間接幫凶

在駭客手中，不論家用或商用的數據機並非只會讓你「網速變慢」，它們往往成為通往整個網路與關鍵基礎設施的跳板，因為透過一連串漏洞的串接，這些邊緣設備可以被遠端控制、長期潛伏，進而成為執行高階犯罪活動的「數位炸彈」。

根據他的研究顯示，這些問題不再只是個人電腦或手機會被攻擊，而是整個國家的基礎設施、金融系統乃至國防相關單位，都可能因為部署了有弱點的數據機，而暴露在風險之下。

游照臨提到，上述設備部署甚廣，包括：美國某自來水廠和臺灣機敏單位 ；更令人不安的是，這類設備的廠商官網，往往也標榜其產品適用於發電廠、天然氣公司、警政系統、軍方，以及ATM提款機等關鍵基礎設施場域。

他直言，當駭客掌握了邊緣設備的控制權時，所能做的不僅是偷取資料，而是直接監控或攔截整個網路封包；也可以竄改使用者原本要存取的網頁，將其置換為精心設計的釣魚頁面；或把設備納入殭屍網路，作為詐騙、分散式阻斷服務攻擊（DDoS）或更複雜滲透行動的跳板。

這種被「放逐」在網路邊緣的危險，有時會把無辜的使用者推到檯面上。游照臨引用一宗臺灣真實事件，今年二月，桃園縣刑警大隊聯絡到某店家，指出該店的 IP位址曾被用於一起二百萬元的詐騙案件；後續查證發現，涉事的數據機正是他先前揭露有漏洞的Nokia型號設備。

換言之，店家並非主謀，卻莫名其妙成為詐騙行為的間接「幫兇」。他指出，這類詐騙事件的致命之處，在於受害方往往無跡可循，因為攻擊者透過遠端設備隱匿行蹤，最後局限在數據機的韌體或管理介面中，日常使用者難以自行察覺。

提供合法IP給詐騙集團，成新興住宅代理黑色產業鏈

「駭客不是單純想讓你家的數據機變慢，而是要把『小烏龜』變成能被販售的資產，打造所謂的住宅代理（Residential Proxy）產業鏈。」游照臨說道。

他從這些研究中觀察到：這個大家不太熟悉的黑色產業鏈，會透過大量取得被攻陷的CPE（客戶終端設備）控制權，把每一臺分散在大街小巷的數據機，包裝成看似合法的住宅IP位址，然後把這些IP位址出租給犯罪集團，用以掩飾其網路行為與地理位置，從而繞過銀行與防詐系統的判斷。

從技術面來看，現代銀行在風險評估上，大量採用機器學習模型以及規則式引擎、IP地理位置、ISP屬性、裝置指紋、歷史交易等行為視為重要信號，倘若一筆刷卡交易出現「地點跳躍」，例如常在臺北刷卡的使用者，忽然在東京嘗試大量交易時，系統會根據風控規則或模型評為高風險，啟動3D-Secure、要求OTP（一次性密碼）或阻擋交易。

游照臨指出，駭客利用住宅代理的目的，就是把這些金融單位看過、有高風險的信號「偽裝正常」，所以，駭客會選用與受害者IP鄰近或同城市的住宅IP，讓刷卡交易看起來像是在受害者家附近發生。

所以，銀行系統看到的就是「看起來合理」的地理資訊，便會降低額外驗證的頻率，甚至因此繞過OTP驗證要求。

更具體的運作方式包括：把被控制的數據機納入代理池，搭配自動化腳本與代理伺服器（例如SOCKS或HTTP proxy）供付費買家呼叫。

他表示，這些住宅代理的價值高於一般VPN或資料中心代理，因為地理與ISP屬性更貼近真實使用者，IP位址的「信譽」也通常較好，能有效對抗以IP位址為基礎的防詐機制。

因此，駭客甚至能提供更精細的資訊：IP位址對應的城市、鄉鎮、ISP、是否位於行動網路或固定寬頻，以及該IP位址的歷史使用模式等，都可以讓犯罪集團的操作更具迷惑性與效率。

這種情況的嚴重性不限於金融詐騙，游照臨表示，住宅代理可被拿來執行網路投票操縱、刷票、操作網購優惠、避開地區性版權限制，甚至配合殭屍網路發動大規模DDoS攻擊或成為針對企業內部系統的跳板等。

對於被入侵的住戶或小店家來說，他們往往毫不知情，通常會在警方與銀行追查時，才後知後覺的發現自己使用的IP位址被濫用，甚至無端捲入犯罪活動，成為名符其實的「無辜幫兇」。

要切斷這條黑色產業鏈，需要多方協作與技術升級，他指出，對個人與企業用戶來說，最直接的做法仍是把數據機視為「Tier 0」（第0層）關鍵資產：立即檢查設備是否為EoL型號、更新韌體、變更預設帳密、關閉不必要的遠端管理功能、並在網路邊界加裝自購路由器或閘道器以分割內外網路。

對ISP與電信業者而言，則應主動掃描代管設備的濫用指標、對外公開受影響設備清單並提供替換方案，甚至建立一套能快速從網路層面封鎖被濫用代理池的回應機制。

金融機構也需重構驗證策略與異常偵測，除了傳統的IP與地理檢查，應該引用更多來源資料進行交叉驗證，例如裝置指紋（包括瀏覽器指紋、TLS 指紋）、行為生物特徵、交易模式分析，以及強化MFA（多因素驗證），優先採用FIDO2類型的公鑰認證，或是將OTP與使用者實體裝置綁定。

另外，銀行可以與ISP、資安社群共享可疑代理IP位址名單，並使用更精細的地理定位技術，例如Wi-Fi三角定位或行動網路三角測量等，以驗證交易是否真的來自該住宅。

政策面上，政府應把住宅代理與被濫用CPE（客戶端設備）的問題納入資通安全框架，針對廠商、ISP等，設置更嚴格的生命周期管理與通報義務，並推動歐盟推廣的「路由器自由」（Router Freedom）政策：提供使用者能安全替換設備的制度，以降低單一供應鏈造成的大規模暴露；執法端也需要與國際資安社群協調，追蹤與瓦解已形成市場化交易的住宅代理黑市交易。

游照臨的研究提醒我們，當數據機被系統性攻陷並商品化成「住宅代理」時，受害的不只是單一使用者或一家銀行，而是整個數位生態的信任基礎。

他說，要把這場危機逆轉回來，唯有從源頭切斷代理供給、從防護端識別偽裝流量，才能真正把網路上的假IP位址逐一清除，還給使用者一個不是被販售的 、真正的IP位址。

面對數據機漏洞危機，資安不能只靠揭露漏洞止血

近年來，家庭與企業網路設備頻傳漏洞事件，從小型辦公室到大型關鍵設施，幾乎無一倖免。對此，游照臨直言，僅僅揭露漏洞或事後修補，早已不足以應付當前的威脅現實。真正的防護，必須從「資產盤點與分級管理」開始。

他指出，許多關鍵設施與大型企業仍在使用早已被通報存在漏洞、甚至已終止後續支援維護（EoL）的數據機與閘道設備，這些老舊裝置看似穩定運作，但在駭客眼中卻是開門揖盜的最佳入口。

游照臨強調，業者應優先辨識並淘汰這類設備，至少應先將其隔離於關鍵網段之外，避免漏洞被放大成系統性風險。

在短期應變上，他建議，若無法立即汰換設備，業者與使用者可採取幾項緊急防護措施：包括關閉WAN端遠端管理功能、停用UPnP、變更所有預設帳號與密碼，並在閘道端建立更嚴格的封包檢查與網段隔離。這些作法雖無法徹底根除風險，卻能在漏洞修補或設備替換前，爭取關鍵的防護時間。

然而，游照臨更關注的是長期結構性的問題。他呼籲，政府與監管機關應與產業界共同檢討採購條款，要求設備供應商對後續的韌體安全維護負起持續責任，同時訂定明確的EoL退場機制，避免出現「產品生命週期終止即安全責任終止」的灰色地帶。他強調，ISP業者也應主動提高巡檢與更新頻率，不能把漏洞風險轉嫁給毫不知情、不具備技術能力的最終用戶。

「數據機漏洞的問題，早已不只是個人上網速度或斷線的困擾，」游照臨嚴肅地說，「它牽動的是整體網路安全的根基。」

他指出，ISP業者為了降低維運成本，往往傾向採用統一型號的大量部署，但這樣的便利背後，卻藏著「單點失效」的巨大風險，一旦其中一個型號設備出現重大漏洞，駭客就可能利用同樣手法，同時入侵數以萬計的使用者網路，造成災難性後果；若廠商又以EoL為由停止更新韌體，社會最終就必須共同承擔那把「被遺棄的風險」。

針對此現象，他建議臺灣可借鏡歐盟推動的「路由器自由」（Router Freedom）政策，讓終端用戶可自由選購相容的數據機與路由器，不必完全依賴ISP所提供的「小烏龜」。這不僅能分散單一品牌與型號的風險，也能促進設備市場的安全競爭與透明化。

他也提醒社會大眾，不應盲目信任「產地」等於安全，因為無論是臺灣製造、美國大廠，或是其他國家品牌，漏洞與後門都有可能出現在任何產品中。「真正可靠的防護，從來不是打著國旗的行銷口號，而是持續、透明的韌體維護與資安治理機制。」游照臨說。

將數據機視為「第0層資產」，全民資安從家門口開始

游照臨進一步指出，企業與公部門應重新檢視數據機的重要性，將其提升為「Tier 0」（第0層）資產——也就是擁有最高權限、最關鍵的基礎設備。

他說，許多組織在資安管理中忽略了數據機與閘道設備的風險，卻沒意識到，一旦這些設備遭入侵，攻擊者便能掌握整個網路環境，導致企業營運全面中斷。

至於一般家戶使用者，他建議應主動確認自家數據機的型號與韌體版本，查詢是否存在已知CVE漏洞編號，或是否屬於EoL產品；同時，務必變更所有預設帳號與密碼、關閉遠端管理功能，並將數據機放置於受控網段，或在其後加裝一層自購路由器進行內外網隔離。

游照臨坦言，這些措施並非萬靈丹，但至少能降低被駭客當作跳板的機率，是「自保的第一道防線」。

他也強調，政策面絕不能再袖手旁觀。政府應要求電信與設備廠商，在採購與核准階段納入更嚴格的資安條款，強制揭示韌體支援期限、漏洞通報與修補責任。對於宣告EoL的產品，也應制定安全退場機制與替代方案，避免業者以商業理由，將風險轉嫁給消費者或公共基礎設施。

此外，若要在臺灣推行「路由器自由」，不僅需解除技術限制，更應確保使用者能安全更換設備而不影響服務，並要求ISP提供必要支援與說明。

游照臨不諱言，當廠商與ISP在面對EoL設備問題時選擇消極或推諉，最終的資安責任就會落到技術能力有限的使用者身上。他苦笑著說：「如果有單位願意，我甚至可以提供一套『駭進去幫他修』的腳本。」這句半開玩笑的話，正是對現行制度荒謬現況的控訴。

「我們不是鼓勵非法行為，而是想提醒社會：當遊戲規則沒有改變，面對越來越多的EoL設備時，採取行動的可能不是合規單位，而是那些有能力、有意圖的人。」游照臨的話真實且無奈。

對於企業或個人使用者而言，數據機（俗稱小烏龜）往往是角落中不被重視，但對網路運行順利或安全與否的重要關鍵角色之一。

攝影/洪政偉

趨勢科技資安威脅研究員游照臨提供手邊幾臺研究中的數據機，他表示，這些數據機不管是臺灣或是其他由臺灣業者代工貼牌的廠牌，都很容易發現「漏洞繼承」的問題，這是產業面臨的結構性問題，不可以輕忽。

攝影/洪政偉

趨勢科技資安威脅研究員游照臨表示，當企業面對這樣一整櫃的數據機，如果IT或資安人員無法即時修復有漏洞的設備時，造成的後果是難以想像。照片來源/游照臨提供