TalkTalk 路由器中存在漏洞 用户WiFi 密码遭暴露

翻译：360代码卫士团队

一个存在多年的漏洞还在危害英国某些家庭 WiFi 网络的安全。

软件开发公司 IndigoFuzz 的研究人员指出，互联网服务提供商 TalkTalk 的超级路由器 (Super Router) 的 WPS 功能可遭攻陷，从而导致路由器无线密码被盗。虽然早在2014年TalkTalk 就已经获悉这个问题，但直到今天似乎仍然无动于衷。

本周一，IndigoFuzz 公司发布安全公告称，这些路由器提供了一直开启的 WPS 匹配选项。由于 WPS 连接并不安全，连接范围内的攻击者能够通过现成可用的黑客工具利用该漏洞，提取路由器的 WiFi 密码。

换句话说，如果你靠近一台 TalkTalk 超级路由器，那么就能通过这个有缺陷的 WPS 功能获得 WiFi 密码并进入无线网络。

IndigoFuzz 团队解释称，这种方法已在多款 TalkTalk 超级路由器上得到成功验证，说明该漏洞影响这种具体型号/版本的所有 TalkTalk 超级路由器。TalkTalk 公司过去就已经获悉这个漏洞问题，但多年后仍未予以修复。

一般而言，发现这种漏洞的计算机安全研究员在公布漏洞详情前，会给予受影响厂商至少30天的时间开发并推出补丁或缓解措施。然而，在这个案例中，IndigoFuzz 公司立即公开漏洞详情，原因是 TalkTalk 用户早在2014年公开指出 WPS 功能是不安全的，因此TalkTalk 已经拥有足够长的时间来修复这个问题。

实际上，研究人员至少在2011年就开始披露路由器 WPS 功能中存在的多种问题。

由于TalkTalk 公司已经有四年的时间修复该问题但仍然无所作为，因此 IndigoFuzz 团队认为30天的等待时间无任何必要，于是在本周公布漏洞详情。该团队指出，发布漏洞详情的目的是督促 TalkTalk 公司立即修复漏洞保护消费者的安全。

TalkTalk 公司目前尚未做出任何回应。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。