真假難辨的工具包 安裝前請三思家用路由器很好用―駭客強力推薦行銷

一、前言

越來越多的家用設備可以連上網際網路，民眾的家居生活也隨著變得更加便利。國際間的駭客對於家用連網科技的發展也充滿興趣，因為越多的設備連上網路，就有越多的接觸點可以用來突破，進而運用於惡意活動，取得駭客所需的成果。

例如107年5月的惡意程式VPNFilter肆虐，感染了Linksys、MikroTik、NETGEAR及TP-Link等品牌的路由器1、2。又如近期108年4月利用Google雲端平台劫持家用路由器的名稱伺服器，感染了D-Link、DSLink、Secutech及TOTOLINK等品牌的路由器3。

二、我的事件

接下來分享筆者家用路由器的事件案例，讓大家了解駭客是如何利用家用路由器以及劫持名稱伺服器解析資訊，進而竊取行動裝置資訊與個人資料。

三、事件起源

登登登…手機傳來新訊息的聲音。

螢幕顯示「請安裝Facebook擴展工具包提升安全性，以及使用流暢度.」。

我心想，原來是安全性更新，為了保持APP程式維持在最新版本，Okay，按下確定讓手機更新Facebook APP。

不久後，收到同事轉發一則國際組織電子郵件，描述發現亞洲國家使用者的家用路由器上的名稱伺服器網路位址被修改成臺灣的網路位址(名稱伺服器是很重要的網路服務，用於將人們使用的網站名稱轉換成設備解讀的數字網路位址4)。國外的家用路由器使用臺灣的名稱伺服器，依我的經驗來看，很少使用者會這麼設定，真是蠻奇特的，因為名稱伺服器網路位址通常設定為各國國內ISP提供的網路位址或者是設定為國際週知的公開名稱伺服器網路位址5。

好奇心驅使下，看一下自己家裡的路由器設定。奇怪，怎麼不是常用的臺灣名稱伺服器網路位址，查一下看到的網路位址，是臺灣的網路位址沒錯，不過卻不是國內各家ISP的名稱伺服器網路位址，也不是國際週知的公開名稱伺服器網路位址。

到底是誰設定的？是出廠就這樣設定的? 還是國內ISP自動配發設定的？難道是……上次姪子來玩時胡亂設定的？

四、聯手分析

和同事們以及相關部門聯手檢查家用路由器與可疑的名稱伺服器，經過一番網路連線分析，檢查連線來源網路位址與目的網路位址，發現我的手機所綁定的網路位址會連線到奇怪的網站之外，還會在背景接收可疑指令與傳送我的個人資料。

六、受駭影響

駭客可以對受駭的手機為所欲為，那駭客能對我的手機做什麼？對我有什麼影響？

1. (一)駭客拿到了我的通訊錄，雖然當中只有我姪子的電話，不過我很擔心姪子會不會也受駭。
2. (二)駭客拿到了我的簡訊，當中有我回高雄的高鐵訂位編號，還有我的拍賣登入認證訊息，還有我的私人簡訊。
3. (三)駭客在我的手機上如入無人之境地看我的活動與照片、改我的資料、玩我的遊戲、賣我的虛寶……，太令人心痛了，我價值不斐的虛寶。

唯一令我安心的是，這是我用來測試的虛擬手機。

七、防護建議

經由分析駭客的攻擊流程與手法，提出幾點強化資安防護的建議。

1. (一)個人方面：建議變更家用路由器的出廠預設密碼為高強度的密碼；檢查家用路由器的名稱伺服器是否設定為ISP提供或是可信賴的網路位址；停用家用路由器可被網際網路存取的連線設定；定期更新原廠的家用路由器韌體。另外，也建議手機安裝防毒程式進行防護，並且透過可信賴的來源更新APP，如Google Play或Apple APP Store。
2. (二)網際服務商方面：建議設定使用者的家用路由器時，限制可以遠端連線管理的網路位址，並且在每台家用路由器使用不同的管理密碼。
3. (三)製造商方面：建議預設將家用路由器設成不可被網際網路連線，並且在每台家用路由器出廠時使用不同的預設密碼。
4. (四)政策方面：建議業界或政府主管機關可以制定家用連網設備的出廠安全性規範，除了提高製造商的資安聲譽，也提升民眾使用連網設備的安全防護。

八、結語

隨著物聯網的發展，駭客也有更多的攻擊目標，這一次的事件是透過家用路由器進行惡意活動，下一步有可能透過不同的家用智慧連網設備來發動攻擊。除了使用者要提升資安意識，政府也應該有相關的物連網設備資安基準政策，多方努力建立更安全的物聯網智慧環境。

最後，我的家用路由器原來也可以用來當作惡意活動誘捕設備，進而發現新型態的資安攻擊與駭客手法。家用路由器真的很好用……我想。

(作者為國家資通安全會報技術服務中心資安工程師)