问:相信有不少听众都使用小米路由器,但最近有人发现,小米路由器内置一些劫持程式,会迫你看小米所发放的一些广告,或网站传来的错误信息,跳到小米的广告板面,其实这是怎么一回事?
李建军:任何路由器,其实都是一部小型电脑。由于现时用户对网络速度要求十分高,因此,路由器的功能也越来越齐全。基本上,现时的路由器,不论那一个牌子,都是一部运行Linux作业系统,或专有作业系统的小型电脑。
小米路由器,就是将OpenWRT的路由器作业系统作出修改,然后加上自行撰写的劫持用软件,当网页出现错误时,不单会出现小米自行设计的一些网页,并载入广告,令用户构成困扰,而且会将你去过网站的纪录传回小米的主机,一些你浏览一些内容敏感的网站,那就算你用VPN,都不能够保证你的私隐。
问:那小米路由器有这样的劫持动作,除了网页出现错误时,有可能会把自己浏览过的地方传到中国当局那边,还有什么问题?
李建军:小米曾经偷偷在手机加入程式,把用户的浏览资料传回中国。由于手机和路由器都是用Linux作业系统,甚至都是ARM的处理器,换言之,小米可能将手机上用来偷用户资料的程式搬到小米路由器上,用户完全不知情,因此对小米路由器用家而言,他们泄漏私隐的风险几乎与用小米手机一样。如果害怕私隐外泄的话,应即停用小米路由器,改为于海外购买,由海外大品牌所出产的路由器。
问:假如安装了OpenWRT的特别版本,又能否令小米路由器如常运作,但不受这些骑劫路由器的奇怪代码困扰?
李建军:由于路由器的作业系统,与路由器硬件本身紧密相连,能否安装未受污染的OpenWRT或DD-WRT作业系统本来己经是一个疑问。而更大问题在于,就算安装了OpenWRT或DD-WRT,小米路由器硬件中,是否有一些奇怪的木马或后门,让小米重新安装有问题的代码,亦是一个疑问。
因此,由保障用家私隐的角度,唯一有效保障自己的方法,就是拒绝使用小米路由器,并由海外购买其他大牌子的路由器所取代。
问:除了小米,像百度、360等等,都推出了自己声称智能路由器产品,又是否同样的不安全?
李建军:无论中国那一间公司推出的智能路由器产品,终极目标都是想得到用户的上网私隐来牟利,简单就可能想卖多点广告,亦可能想与当局全面合作,藉其他垄断性业务赚大钱。因此,中国互联网公司推出的智能路由器都是有危险性,不应购买。
比较安全的路由器,应是海外品牌,并且容许用家自行安装DD-WRT一类的作业系统,一方面这类路由器的速度和功能比较强大,另一方面,就算无法信任原厂提供的软件都好,都可以使用开放源码群体所提供的软件,提升安全水平。如果无法信任海外品牌在中国销售的产品,可以考虑购买这些品牌在海外销售的版本,但内里用户介面可能因针对市场不同而无中文介面。
除了使用Linux作业系统的路由器外,苹果公司的Airport Extreme系列也是可以考虑,因为现代Airport Extreme路由器,实际上是一部使用苹果自家作业系统的小型电脑,而暂时未有证据显示苹果向中国当局提供苹果作业系统的关键数据,而中国黑客,暂时亦未十分熟悉苹果作业系统的漏洞,并对此作出攻击。
via 细节的力量 http://ift.tt/1IyKoLu
No comments:
Post a Comment