賽門鐵克：家中路由器很容易被駭

賽門鐵克及印地安那大學在本周發表一份報告，證明駭客很容易透過惡意程式更改使用者家中路由器（router）的設定，並進一步發展其他形式的攻擊，例如DoS阻斷式服務攻擊、病毒、身份竊盜等。

研究發現駭客很容易改變使用者家中路由器的網域名稱系統設定（Domain Name System，DNS）。使用者只要透過路由器連上一個採用JavaScript的惡意網站，再加上路由器使用的是原本預設的密碼，那麼駭客就能侵入DNS系統，並將不知情的使用者導向其他釣魚網站。

此一攻擊很容易成功的主要原因在於使用者路由器的預設密碼都很簡單，例如有很多使用「admin」作為預設密碼，而且很多使用者並不見得會去更改密碼，以致於駭客能夠輕易入侵。

賽門鐵克表示他們在Linksys、D-Link及Netgear等不同品牌的路由器上皆曾作過測試，並認為駭客建立一個可攻擊所有路由器的網站並用來作為網釣的工具，只是早晚的事。

賽門鐵克引用非正式的調查，指出約有五成使用路由器的消費者使用預設的密碼或甚至不用密碼，另外一項正式調查則顯示高達95%的使用者瀏覽器允許JavaScript，這意味著有47.5%的使用者家中的路由器有很大的被駭風險。

因此，賽門鐵克研究人員建議，路由器使用者應該要設定一個非預設而且不容易猜到的密碼，同時，路由器製造商在銷售這些產品時也要強化安全預設設定。（編譯/陳曉莉）