曝路由器厂商人为留后门 多用户存安全隐患

小燕子

     上周末，国家互联网应急中心发布的“2013年我国互联网网络安全态势综述”报告(以下简称报告)显示，有多家路由器厂商的产品存在“后门”，其中包括思科、腾达、D-LINK等多家品牌。有业内人士透露，一些路由器厂商为方便日后调试和监测，生产时会在产品上保留“后门”。法律人士指出，这种做法损害了用户权利，因“后门”造成的损失应由路由器厂商承担。

　　业内人士：有路由器厂商生人为留“后门”

　　上周末，国家互联网应急中心发布报告显示，有多种路由器存在“后门”。据了解，路由器安全问题不仅能影响网络正常运行，还可能导致企业和个人信息泄露。

　　那这些“后门”是怎么来的呢？

　　有电信设备厂商内部人士对记者表示，一些路由器厂商在研发成品时，为了日后调试和检测更方便，会在产品上保留一个超级管理权限，这个超级权限一旦被黑客所发现并破解，就意味着黑客可以直接对该路由器进行远程控制。

　　报告显示，以D-Link为例，受“后门”影响的D-LINK路由器在互联网上对应的IP地址至少有1.2万个，大量用户受到影响。另外，据多家媒体报道，如今很多路由器厂商实际上都是采用的同一种芯片解决方案，也就是说，如果最初的软件系统层面存在后门，那么中枪的会是多个品牌的多种产品。

　　用户不升级路由固件或因操作不便

　　对于路由器被曝存在“后门”一事，腾达昨日在其官方微博上称，“关于留后门这个说法肯定是不存在的。”而思科、D-Link等路由厂商截止发稿未对其部分产品存“后门”一事作出表态；对于漏洞，腾达在微博上表示，信息技术更新快，漏洞有存在的可能性，路由固件升级一方面就是针对可能存在的漏洞问题的。

　　从腾达回应中不难看出，升级路由固件或是降低安全风险的一个办法。多位安全专家也建议，应实时关注路由器生产厂家官方网站，看到有漏洞“补丁”升级公告时要及时升级。

　　不过普通用户或很难做到这一点。中新网IT频道从多名路由用户得到反馈大多是“从来就没有升级过路由固件”。 360网络安全工程师安扬认为，路由器的设置操作对普通网民来说过于复杂，这导致用户难以进行必要的安全设置，带来极大安全隐患。

　　另一方面，即便用户“惦记”升级路由固件，如果路由厂商不及时提供升级服务也等于零。据报告显示，发现路由器漏洞后，CNVD(国家信息安全共享平台)及时向相关路由器厂商通报威胁情况，但截至2014年1月底，仍有部分厂商尚未提供安全解决方案或升级补丁。

　　法律人士：因路由器“后门”、漏洞造成的损失应由厂商承担

　　就路由器被爆存“后门”和漏洞一事，知名IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领接受中新网IT频道采访时称，为了方便日后检测和调试，路由厂商人为设置“后门”，归根这是路由器本身的安全问题，用户一旦因路由“后门”产生损失，路由器厂商应全权负责。

　　安扬也认为，路由器是所有上网流量的关卡，路由器被黑客控制，意味着与网络相关的所有应用都可能被黑客劫持，包括加密传输的数据也不再安全，这属于路由器本身的安全问题。

　　赵占领还说道：“随着技术的发展，虽然没有任何路由器能做到永无漏洞，但是在现有的技术范围内，路由器厂商有义务通过‘升级’等手段来保证其产品的安全。路由厂商明知有漏洞却无作为或‘升级’不及时而对用户造成的损失，将由路由器厂商承担。”