一个安全问题,第三方路由固件挂马问题。

2015-10-12 09:49:14 +08:00
 zhixingcsb
现在刷第三方固件似乎成为了一种风气。但是第三方路由固件不少是由个人修改放出的,是否会在其中挂马?如果这样所有连接到路由的设备都不安全了。

想了解下在路由器挂马的难度和可行性,是否会导致隐私泄密。

查阅了些资料,似乎有效信息很少,而且很多还是官方固件后门问题。
6854 次点击
所在节点    问与答
21 条回复
holong2000
2015-10-12 09:51:57 +08:00
你能想到,就必然已经存在。
xfspace
2015-10-12 10:27:45 +08:00
爱用不用。担心安全自己做审计
Felldeadbird
2015-10-12 10:36:14 +08:00
肯定有的。特别是路由固件中带宽帐号明文的。嗯,以前带宽知道账号和密码可以随意定制任何业务。以前最喜欢拿来充 QQ 会员了。
路由挂马,最简单就是内置一个数据监听。把 HTTP 表单内容都记录下来。
tobyxdd
2015-10-12 10:40:30 +08:00
所以尽量不用论坛 /博客之类发布的个人作品咯
hiddenman
2015-10-12 10:43:32 +08:00
自己编一个
ytjfmv
2015-10-12 10:46:14 +08:00
同问, uboot 用的别人的, openwrt 用的自己的,这样有问题么
kenshinhu
2015-10-12 10:48:44 +08:00
想问问,怎样可以科普 openwrt 的知识
Explorare
2015-10-12 10:52:25 +08:00
你可以抓包看看数据正常不,或者要求源代码,自己 diff 一下看看修改的地方。或者就用官方解决方案,比如 Linksys 出的官方 Openwrt 路由器。
zhixingcsb
2015-10-12 11:10:18 +08:00
@holong2000 其实说来没有绝对安全的
@hiddenman 自己编自然可以,只是不一定都有那个精力
@tobyxdd 多数固件都是个人制作的吧
@Explorare 恐怕最安全的还是用官方固件吧
pmpio
2015-10-12 11:10:42 +08:00
不如大家一起在 V2EX 交流一下如何用官方网站上下载的 ImageBuilder 来定制适合自己路由器的固件吧,国内搞这方面的人很少,很多都是想收费定制的,钱倒是不多,但这玩意还是自己动手靠谱。

直接从源码编译没必要,我试过的, ImageBuilder 包修改 dts 文件后重组的固件,是完全没问题的,目前就还有些细节没折腾。

至于 uboot ,我觉得它跟 android 中的 recovery 差不多吧,应该只在刷机起作用,不知正常启动时是否会是一个必经的阶段?像计算机的 BIOS 那样。。。。
pmpio
2015-10-12 11:13:21 +08:00
@zhixingcsb 我的国内小牌子路由器,上次就因为刷了厂家提供的最新固件,导致下载文件时总是损坏,所以,官方的也不一定最可靠。。。
zhixingcsb
2015-10-12 11:15:52 +08:00
@pmpio 主要是保证安全性,但是官方固件一般都太保守,而第三方的就不知道安全性了。
Explorare
2015-10-12 11:22:15 +08:00
@zhixingcsb 官方固件也要分情况。比如某想就在 BIOS 上动手脚,比如国产路由使用默认后台密码,一扫一大片。开源是最好不过的,但要有足够大的社区来进行安全审阅,不然只开源但是没人审阅就没意义了。你这个情况,还是先从有官方解决方案的路由开始吧,一步步来。
lshero
2015-10-12 12:01:25 +08:00
目前唯一被大范围曝光的固件挂马的也就是小米路由了吧
利用透明代理强制插入 JS 插入小广告
aivier
2015-10-12 12:21:19 +08:00
@lshero 执行远程脚本罢了, JS 的特性之一
lshero
2015-10-12 12:41:30 +08:00
@aivier 其实做了透明代理读取任意域下的 cookie 也很简单
tobyxdd
2015-10-12 13:54:01 +08:00
@zhixingcsb ddwrt/openwrt/tomato/routeros 哪个都不是个人制作 非要找冷门型号的个人移植那没办法
arnofeng
2015-10-12 13:59:24 +08:00
其实我更好奇不死 uboot 和 breed 的制作方法。
xierch
2015-10-12 18:37:35 +08:00
买一个 OpenWrt 官方支持的路由器
aivier
2015-10-14 12:12:49 +08:00
@lshero 第一次听说 JS 还能做透明代理,一个市值比你一辈子赚的钱还多的公司没必要盗取你在 18 禁网站的观看记录 Cookie

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/227281

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX