Ifølge forskere i Symantec og på Indiana Universitet kan hackere ved hjælp af et ondsindet JavaScript overtage styringen med routere i private hjem.
For at gennemføre angrebet skal brugeren lokkes ind på en ondsindet hjemmeside, som sender JavaScriptet.
Derudover skal routeren stadig have det standard-kodord, som det er udstyret med fra fabrikken.
Kunne ændre firmware
Forskernes testforsøg viser, at de var i stand til at ændre firmwaren på routeren og omdirigere en D-Link DI-534 router til at bruge en DNS-server efter hackerens eget valg.
- Ved at besøge en ondsindet hjemmeside kan en person, uden selv at vide det, åbne sin router op for angreb, skriver forskerne i rapporten.
- En hjemmeside kan angribe hjemme-routere indefra og starte sofistikerede angreb, der kan medføre ”denial of service”, installation af ondsindede programmer eller tyveri af personlige oplysninger, lyder det.
Ændret kodeord øger sikkerheden markant
Når routeren er blevet inficeret med det ondsindede JavaScript kan brugerne blive henvist til falske hjemmesider.
Så i stedet for at downloade software fra Microsoft eksempelvis, kan brugerne narres til at hente ondsindet software.
Brugerne kan også tro, at de er inde på deres netbank, men i stedet er de ved at blive franarret deres bankoplysninger.
Problemet er, at routerne sendes i handlen med en nemt og offentlig kendt adgangskode som eksempelvis ”admin”. Det kan udnyttes af hackere.
- Men brugere der har sat et moderat sikkert kodeord på deres routere i hjemmet vil være sikre overfor angreb, siger forskerne i rapporten.
Det er producenternes skyld
Forskerne mener, at det er dårlige standardinstillinger, der er skyld i at routerne kan stå åbne for hackere.
Producenter som D-Link og Cisco er opmærksom på problemet.
- Det er et problem, som vi er optaget af, siger talskvinde for Cisko’s Linksys gruppe, Karen Sohl.
- Vi har sendt omkring 30 millioner routere på markedet, og vi vil gerne have brugerne til at forstå, at det er vigtigt at ændre standard-kodeordet, siger hun.
Både Cisco og D-Link arbejder på problemet. Gennem de seneste år har de indført et step-by-step installationssystem, der opfordrer brugerne til at bruge et unikt kodeord.
Problemet er, at routeren fungerer, hvis kodeordet ikke ændres.
- Og det ændrer vi ikke på foreløbig, siger teknisk leder hos D-Link, Michael Scott.
- Brugerne ville ikke købe routere, hvis vi tvang dem til at bruge et unikt kodeord. I stedet er der flere, som vil returnere produktet og købe en router fra en af vores konkurrenter, siger han.
Oversat af Christian Carlsen
