你家的路由器多久没更新了?很多人装好宽带后,就再也没碰过那个小盒子。殊不知,老旧的固件可能正悄悄把你的家庭网络暴露在风险中。
固件不是摆设,它决定设备“免疫力”
路由器、摄像头、智能门锁这些设备都依赖固件运行。就像手机系统需要升级补丁一样,固件更新往往修复了已知的安全漏洞。厂商一旦发现某个旧版本存在被远程控制或数据窃取的风险,就会发布新固件来堵住缺口。
可现实是,大多数人根本不知道怎么查版本号,更别说主动升级。朋友老李家上个月Wi-Fi总断,后来才发现是邻居通过他三年没更新的路由器蹭网,还顺手改了DNS劫持购物网站。
常见漏洞类型:不只是蹭网那么简单
旧固件常见的安全问题包括默认密码未强制修改、远程管理接口开放、缓冲区溢出可执行恶意代码等。攻击者利用这些漏洞,不仅能偷流量,还能植入僵尸程序,把你家设备变成DDoS攻击的一部分。
某品牌摄像头曾曝出CVE-2021-32934漏洞,影响所有v2.1.0以下版本。黑客只需发送特定请求就能获取设备权限,而很多用户至今仍在用出厂自带的固件。
如何检查并更新固件
登录路由器管理页面,通常地址是192.168.1.1或192.168.0.1。输入账号密码后,在“系统状态”或“关于本机”里查看当前固件版本。然后去官网支持页面搜索型号,核对是否有更高版本。
下载时注意匹配硬件版本号,比如RT-AC68U_V3不能刷V2的固件,否则会变砖。更新过程不要断电,一般三到五分钟完成。
GET /cgi-bin/upgrade.cgi?file=../../../../etc/passwd HTTP/1.1\r\nHost: 192.168.1.1\r\nUser-Agent: curl/7.64.0\r\nConnection: close\r\n\r\n上面这个请求就是典型的路径穿越漏洞利用方式,针对的就是未修复的旧版Web管理界面。
设置自动提醒,省心又安全
新一点的设备支持自动检测更新,建议开启该功能。没有这选项的,可以定个日历提醒,每三个月手动检查一次。买二手路由器更要小心,先重置再刷最新固件,避免前主人留后门。
智能家居越来越多,一个没更新的温控器也可能成为入侵内网的突破口。别图省事,花几分钟升级,比事后重装系统划算多了。