安全专家发现了大多数家庭路由器中的一个设计漏洞.攻击者能够远程利用这个安全漏洞引诱连接到这种路由器的计算机访问一个陷阱网站.
这个安全漏洞能够让攻击者把受害人引诱到诈骗网站.这些网站一般都伪装成银行、商务公司或者医疗结构等可信赖的网站.即使用户修改了路由器默认的口令,这 个安全漏洞也能够被利用.只要计算机安装了最新版本的Adobe Flash软件,无论这台计算机采用什么操作系统和什么浏览器,这个安全漏洞都能够被攻击者利用.
这个问题存在于通用即插即用功能中.用于家庭网络的大多数路由器都有这个功能,以便运行游戏、即时消息程序和其它应用程序的设备能够无缝地相互沟通.通过让最终用户访问一个网站上的恶意Flash文件,攻击者能够利用这个即插即用技术对路由器进行重大的修改.
可能进行的最严重的修改是修改连接到路由器的服务器电脑访问的网站.这将使受害者访问假冒的eBay或者美国银行网站,看到假冒的窃取他们登录证书的网页.
这个安全漏洞还能够让攻击者打开受害者的路由器上的端口.通过把这些端口发送给外部的服务器,攻击者能够把受害者的路由器变成类似于僵尸电脑的设备.
研究人员称,这个问题不是Flash软件中的安全漏洞,而是即插即用功能中的设计漏洞.这个功能没有使用身份识别技术.使用任何平台和浏览器的电脑都可以改变路由器的设置,只要这些电脑使用8.0版本以上的Flash软件.
研究人员称,Linksys、Dlink和SpeedTouch等公司生产的路由器已经证实存在这个安全漏洞.其它厂商的产品也可能存在这种安全漏洞.大多数路由器在默认状态下都打开了即插即用功能.防止这种攻击的唯一办法是关闭这个功能.有些路由器可以关闭这个功能,但是并不是所有的路由器都能关闭这个功能.
