很多低成本物聯網（IoT）設備缺乏足夠的安全措施，很容易成為黑客攻擊的目標，比如說接入無線網絡的監控攝像頭、家庭NAS設備、個人電腦以及集成到家用電器的傳感器 。

美國消費者保護組織ConsumerGram對家用Wi-Fi路由器產品進行了研究，結果顯示6個路由器中就有5個包含已知的安全漏洞且未進行更新，接入該網絡的設備好比直接向黑客敞開了大門，可危及用戶的隱私安全并導致經濟損失。

概述
我們在日常生活中使用的電子設備，其軟件安全性與我們的隱私密切相關，舉個例子，筆記本電腦和智能手機可能就存著與他人互動、輸入的密碼、財務信息、社交媒體記錄和其他敏感信息等。就社會層面而言，電子設備和軟件是日常活動的核心，就業、健康記錄、娛樂和購物等，例子太多，不再贅述。此外，計算機和通信的安全與否對于商業和國家安全至關重要。
2018年5月，美國聯邦調查局發出警告稱，俄羅斯計算機黑客已經入侵了數十萬臺家庭和辦公室路由器，以收集用戶信息或劫持網絡流量。FBI敦促多個品牌路由器用戶重啟產品并更新固件。今年早些時候，思科也警告說黑客正在利用Linksys、NETGEAR、TP-Link和其他公司生產的主流路由器產品進行非法活動。
黑客瞄準家用硬件設備，尤其是路由器的原因是它們的隨機軟件或者固件一般比較簡陋，而且更新頻率很低，此外很多固件還是基于開源代碼構建的，本身就更容易為黑客所知。近年來，開源代碼作為一種經濟的定制方式，各行各業都大面積采用，涵蓋操作系統、應用軟件、開發工具和固件等。路由器產品也是如此，基于開源代碼的固件一般功能比較強大，但如果開源代碼本身存在漏洞時，廠商一方面難以及時推出補丁，另一面即使有了新版固件，用戶也不一定收得到更新或者是知道還有這么回事。
ConsumerGram此番的探索旨在明確家用路由器本身以及接入的設備受到網絡犯罪和其他威脅的影響等級，換句話說就是分析和檢查路由器制造商為消費者提供了多大程度的安全保護。包含已知安全漏洞且未修復的設備更容易泄露用戶數據，成為惡意活動、身份盜竊、欺詐和間諜植入的目標。這里提供的結果基于來自14個不同制造商的186款Wi-Fi路由器產品，這些路由器是市場上的熱門產品，并且產品網站提供固件下載（測試路由器的完整列表，請參閱附錄）。這里ConsumerGram使用了Insignary Clarity軟件掃描嵌入式固件以識別待測路由器中開源組件相關的特定風險和未修復的安全漏洞。
結果顯示，186款測試的路由器中155款（83％）的固件發現可導致網絡攻擊的漏洞，每款路由器平均存在多達172個漏洞。

圖1：存在已知漏洞的路由器的百分比
每個漏洞的嚴重性由漏洞數據庫排名。根據不同的得分，每個漏洞的風險等級分為低風險、中等風險、高風險或關鍵 。高風險和關鍵漏洞利用起來更加方便，無需特別多的知識即可掌握而且危害程度也更高，它們很少用于直接破壞設備固件，惡意軟件常通過這兩類漏洞潛伏在設備中進行長期的惡意活動，比如說惡意挖礦腳本。
這155款路由器中存在的漏洞，其中28％屬于高風險和關鍵（參見圖2）級別。平均每款路由器包含12個關鍵和36個高風險漏洞，而中等風險漏洞則高達103個。

圖2：漏洞分布
本次對設備和軟件安全性的測試非常簡單，然而結果卻非常嚴峻，家用路由器可謂非常脆弱，正在成為網絡攻擊的主要目標之一。
賽門鐵克發布的年度互聯網安全威脅報告顯示 ，2017 年物聯網攻擊增加了600％ ，路由器是被攻擊次數最多的設備類型， 占33.6％。Cybersecurity Ventures發布的2017年度網絡犯罪報告中，預測物聯網設備將成為2018年的主要技術犯罪驅動因素，到2021年網絡犯罪將帶來6萬億美元的經濟損失。
總結
研究結果表明，Wi-Fi路由器的安全性極其不受廠商和用戶的重視。簡單地重置路由器無法解決根本性的問題，修復漏洞帶來了成本也導致廠商不上心，但從長遠計廠商和用戶承擔的網絡風險成本其實更高。
附錄
測試的路由器型號：