家用器存在严重缺陷 黑客可轻松修改路由设置

　　2008年1月16日消息，据国外媒体报道，专家日前揭示了一个存在于大部分家用路由器当中的设计缺陷。攻击者利用这个缺陷，可以使连接路由器的计算机自动登陆恶意网站，从而实现对此计算机的远程控制。
　
　　这个设计缺陷使黑客可以把受害电脑引到欺诈网站，这些网站通常都伪装成银行，电子商务公司或者卫生保健组织这样的可靠网站。即使用户更改了路由器的默认密码，这个漏洞也还是会被利用。只要它安装了近期版本的Adobe Flash，即使计算机的浏览器与设备的操作系统在运行当中，它还是会起作用。
　
　　Adrian Pastor为著名的黑客组织GNUCitizen工作，他在即时消息中说“这是一个巨大的问题”，这个问题存在于“通用即插即用”当中，一个安装在大部分家庭网络路由器当中的部件，有了它，电脑游戏，即时消息程序和其他应用程序就会完美地运转。通过将一个终端用户暴露于潜伏在网站内的恶意Flash文件之下，黑客就能用“通用即插即用”来对路由器做修改。
　
　　黑客对路由器所做的最严重的修改是用来进入网站的所做的更改。这就可能使受害电脑进入eBay或美国银行来看那些能盗取受害者登录凭证的欺诈网页。
　
　　这个攻击手段也可以使黑客打开被攻击路由器的端口。通过转换端口到一个外部上，这对于把路由器转换成僵尸机器很有用处，
　
　　研究人员说，这个缺陷不是一个Flash内的漏洞，它是不需要验证的“通用即插即用”的设计缺陷。使用任何平台和浏览器的电脑都会改变路由器的设置，只要它们运行的是version 8或更高版本的Flash.
　
　　研究人员说，Linksys， Dlink和SpeedTouch生产的路由器已经被确定有漏洞，其他厂家的产品也很有可能受到攻击。大部分路由器通过默认方式启动“通用即插即用”。唯一防止攻击的方法就是关闭这个部件，对某些设备可行，但对某些设备是不可行的。