超過八成的路由器有安全漏洞,用戶有遭受網路攻擊之風險

您知道嗎?!您使用的Wi-Fi路由器,其中所蘊含的安全性漏洞可能使您暴露於一系列的威脅之中!!!

據美國消費者研究院(ACI)調查顯示,美國家庭和辦公室所使用的Wi-Fi路由器中,超過八成(83%)由於韌體未能及時得到更新及彌補安全性漏洞,讓使用者面臨遭受網路攻擊的風險。 

美國消費者研究院是在抽樣測試了美國市場上現售、來自14家廠商的186台居家辦公Wi-Fi路由器後,得出上述令人不安的資料。

“我們運用Insignary公司的Clarity掃描工具分析後發現,在186台抽樣路由器中,有155台(83%)被發現存在韌體安全性漏洞、可能遭受網路攻擊,平均每台路由器上的漏洞數量達到172個,由已認定存在漏洞的155台路由器平攤的話,則每台路由器平均漏洞數量高達186個,”這篇名為《保障物聯網設備安全:您使用的Wi-Fi路由器安全性如何?》的報告稱,從而使已知安全性漏洞總數剛好超過32,000個。

使用者風險涵蓋個人資訊洩露,可能進一步引發盜用身份或網路欺詐等惡意活動,同時路由器被操控後,可作為向網內和網外其他設備發起攻擊的平臺。 

所有漏洞並非蘊含同等的安全威脅,按照全美漏洞資料庫漏洞分級標準(低、中、高及危險)來劃分,已檢測到的安全性漏洞中,屬於危險的占7%, 高風險的漏洞為21%,中風險漏洞則為60%。平均而言,發現每台路由器分別存在12個危險級及36個高風險級安全性漏洞。

鑒於開放原始碼的日益依賴,被認為是導致路由器韌體間產生安全性漏洞的首要關鍵因素之一;另外廠商推出安全更新修補的速度往往過慢,甚至完全不發佈更新修補,還有就消費者而言,往往沒有想到要更新路由器韌體及意識到其中存在安全性漏洞。 

路由器(及其接駁網路)所面臨的威脅並非是純粹的假設。就在最近四個月前,就曾發生過五十多個國家境內的數十萬台路由器,被名為VPNFilter的惡意程式大規模感染的事例;

還有2016年10月21日發生的一系列DDos攻擊被廣泛報導的事件,使美國不少互聯網活動受到嚴重干擾,其中就有安全機制欠缺的家用路由器,被用來部署僵屍網路、協同發起攻擊。幾周後,德國電信公司名下的多達90萬名用戶,因路由器感染了上月DDos攻擊幕後黑手的同一Mirai僵屍網路惡意程式,而被迫下線長達兩天。

為了增加路由器的安全,ESET資安專家建議如下,

1.更改路由器的密碼(字母加數字的高強度密碼)

2.路由器預設的管理IP修改為自己指定的特殊IP;開啟路由器MAC位址過濾功能,只允許已知設備連入

3.關閉設備本身的WPS PIN碼與UPnP機制

4.常登錄路由器管理後台,看看有沒有不認識的設備連入了WIFI,如果有,及時將其清除

5.注意韌體更新,減少設備漏洞威脅

6.安裝知名防毒軟體(非常重要!!!), ESET Internet Security網路安全套裝配備【掃描路由器】功能,可協助在連線至外部網路時,識別駭客攻擊路由器並提高防護等級。

(欲了解產品:https://www.eset.hk/home/

原文出處:https://www.welivesecurity.com/2018/10/08/routers-firmware-flaws-leave-users-risk/

臉書爆發史上最大漏洞攻擊,全球高達5,000萬用戶個資恐遭駭客竊取

臉書(Facebook)於上周五(9月28日)爆出史上最大漏洞攻擊,因為更新影片上傳功能程式碼出現開採漏洞,導致全球至少5,000萬名臉書帳戶資訊恐遭駭客竊取。而這個開採漏洞,是來自於去年(2017)7月更新影片上傳功能的程式碼時出現的安全漏洞,讓駭客得以經由此漏洞,間接利用臉書頁面特定用戶檢視角度(View As)功能,取得臉書用戶登入存取令牌(access tokens),token 可以讓用戶每次登入時能自動登入,不需要重新輸入帳密才能登入,駭客取得token後,等於是,就能繞過登入驗證機制,進而掌控用戶管理權限,竊取個人資訊。

如果您沒有受到影響,ESET資安專家建議,

1.開啟臉書網頁,在右上方的下拉式清單中選擇「設定」,在設定頁面中選擇「帳號安全和登入」。檢查「您登入時所在的位置」當中,是否有陌生的裝置或是登入位置。若是想更保險一點的話,可以展開清單,並點選清單右下角的「登出所有連線裝置」,手動重設所有認證。

2.更謹慎的話,您可以更改密碼 – 可使用下方的「更改密碼」功能修改密碼,並且啟用「使用雙重驗證」功能,進一步保證帳號安全。

此外,請注意利用此事件可能發生的網絡釣魚攻擊,其中歹徒可能會試圖冒充Facebook,誘騙您點擊惡意鏈接或下載病毒附件。最後,溫馨提醒您在社交媒體上分享私人訊息時還是要謹慎小心。

 

欲看全文: https://www.welivesecurity.com/2018/10/01/50-million-facebook-users-breach/

微軟Edge瀏覽器漏洞,可被惡意網站用來洩露個人電子郵件

 
 
Google的開發人員發現了一個影響微軟Edge及Mozilla Firefox網頁瀏覽器的一個高嚴重的安全性漏洞,它可能被允許遠端攻擊者甚至讀取你的的私人資訊。
 
這可是個大bug,它意味著如果您使用Edge瀏覽器造訪網站,其網站就可以讀取您的私人電子郵件、 您的Facebook資訊,而您卻全然不知。
 
該漏洞可令遠端攻擊者通過受害者瀏覽器之中的其他分頁讀取資料,這也包含要求使用者進行身份驗證的網站等。
 
四大主要的瀏覽器中,這一安全性漏洞主要影響微軟Edge流覽器,而微軟也在獲悉Google開發人員所反應的漏洞資訊後,隨即在2018年6月例行性安全更新中修補了此一漏洞;對於Firefox而言,只有公測版受此影響,Mozilla在該漏洞波及到Firefox穩定版用戶之前,就緊急發佈了修正程式。
 
關於此漏洞
 
該漏洞涉及到瀏覽器對多媒體內容跨域請求的處理機制。當惡意網站通過Service Workers,載入另一網域<audio>標籤之中內容的同時,運用“range”參數只調取該檔的部分區段,便可觸發該漏洞。
 
在借助Service Workers機制,載入源自其他路徑的<audio>標籤內部檔,使惡意網站能夠獲取另一網站內容且不被察覺之方面,不同瀏覽器對此反應不一。
 
引誘受害者造訪網站後,攻擊者便能有效規避名為CORS(Cross-Origin Resource Sharing,跨來源共用機制)的瀏覽器安全機制,使之無法正常阻止網站獲取其他網站內容的造訪權。
 
微軟將該漏洞列為“安全功能規避性漏洞,當Edge瀏覽器無法正確處理多來源請求時便會存在。”並提到“攻擊者在成功利用此漏洞後,便能迫使流覽器發送原本限制上傳的資料,”。
 
由於該漏洞已經發佈更新修補,ESET資安專家強烈建議用戶確認已升級該瀏覽器最新版本並使用專業的ESET資安產品,來保護您的個人重要資料。