美国拟禁TP-Link路由器的网络安全深度解析

美国政府计划禁止TP-Link网络设备销售,因担忧中国影响力及设备安全漏洞。文章深入分析路由器固件植入、密码喷洒攻击等威胁,并探讨开源固件替代方案与消费者路由器的普遍安全隐患。

美国拟禁TP-Link路由器的网络安全深度解析

美国政府据称正准备禁止TP-Link Systems生产的无线路由器及其他网络设备。这家科技公司目前在家用和小型企业市场占据约50%份额。专家表示,拟议禁令更多与TP-Link与中国的关系有关,而非具体技术威胁,但该市场其他厂商同样从中国采购硬件,且出厂产品存在安全隐患。

《华盛顿邮报》近期报道,超过六个联邦部门和机构支持在美国禁售TP-Link设备。报道称美国商务部官员认定TP-Link产品构成风险,因为这家总部位于美国的公司产品处理敏感数据,且官员认为其仍受中国政府管辖或影响。

TP-Link Systems对此予以否认,表示过去三年已与中国TP-Link Technologies完全分离,并称批评者高估了其市场份额(公司自称约30%)。TP-Link称其总部位于加州,在新加坡设有分支机构,在越南生产。公司表示除芯片组外,所有研发、设计、开发和制造均在内部完成。

TP-Link Systems向《邮报》表示,其独家拥有曾属于中国TP-Link Technologies的部分工程、设计和制造能力,并在没有中国政府监督的情况下运营。

TP-Link Systems发言人Ricca Silverio在声明中表示:“TP-Link坚决反对任何关于其产品对美国构成国家安全风险的指控。TP-Link是一家致力于向美国及全球市场提供高质量安全产品的美国公司。”

成本是TP-Link设备在消费级和小型企业市场普及的主要原因:正如《连线》杂志2025年2月关于拟议禁令的报道指出,TP-Link长期以远低于同类产品的价格充斥市场。这一价格点(以及持续优秀的性能评级)使其成为向客户提供路由器的互联网服务提供商(ISP)的首选。

2024年8月,众议院中美战略竞争特别委员会主席和高级成员要求对TP-Link设备进行调查,称在美国军事基地发现这些设备,并在向军人及家属销售的商店有售。

众议院议员在致商务部部长的信中警告:“TP-Link异常多的漏洞及遵守中国法律的要求本身就令人不安。结合中国政府常利用TP-Link等SOHO路由器对美国实施广泛网络攻击,情况变得更加令人担忧。”

该信引用了Check Point Research 2023年5月的博客文章,提及中国国家支持的黑客组织“Camaro Dragon”使用某些TP-Link路由器的恶意固件植入程序,对欧洲外交实体实施一系列针对性网络攻击。Check Point表示虽然仅在TP-Link设备上发现恶意固件,但“植入组件的固件无关性表明广泛设备和厂商可能面临风险。”

在2024年10月发布的报告中,微软表示正在追踪自2021年以来被多个不同中国国家支持黑客组织滥用的受损TP-Link SOHO路由器网络。微软发现这些黑客组织利用受损TP-Link系统对微软账户进行“密码喷洒”攻击。密码喷洒涉及使用相对较少的常用密码快速尝试访问大量账户(用户名/邮箱地址)。

TP-Link正确指出其大多数竞争对手同样从中国采购组件。公司还准确注意到中国及其他国家的高级持续性威胁(APT)组织曾利用其竞争对手(如思科和网件)产品中的漏洞。

但这对于现在思考是否继续使用这些产品,或是否购买可能仅略微不易受攻击的更昂贵网络设备的TP-Link客户来说,可能只是杯水车薪。

几乎无一例外,大多数消费级路由器随附的硬件和软件包含多项默认设置,需要在设备安全连接互联网前进行更改。例如,若在不更改默认用户名和密码的情况下将新路由器联网,很可能几分钟内就会被某种物联网僵尸网络探测并可能入侵。此外,全新路由器的固件在购买拆封时往往严重过时。

直到最近,路由器制造商应让客户更安全使用产品的想法对该行业来说仍是禁忌。消费者大多需要自行摸索,结果可想而知是灾难性的。

但过去几年,许多流行消费级路由器制造商开始强制用户执行基本安全操作——如更改默认密码和更新内部固件——然后设备才能作为路由器使用。例如,大多数“网状”无线路由器品牌(如亚马逊的Eero、网件的Orbi系列或华硕的ZenWifi)要求在线注册,以自动化这些关键步骤(或至少在其声明的支持生命周期内)。

不论好坏,较便宜的传统消费级路由器(如贝尔金和领势的产品)现在也通过强烈引导客户安装移动应用来完成设置(这对更习惯手动配置路由器的人来说通常是个冲击)。然而,这些产品往往将定期检查和安装可用更新的责任推给用户。此外,它们通常由性能平庸或臃肿的固件驱动,且可配置选项匮乏。

当然,并非所有人都想摆弄移动应用或愿意注册路由器以便在云端远程管理或监控。对于这些喜欢动手的用户——以及寻求VPN、广告拦截器和网络监控等高级路由器功能的高级用户——最佳建议是检查路由器的原厂固件能否被开源替代方案(如OpenWrt或DD-WRT)替换。

这些开源固件选项兼容多种设备,通常提供更多功能和可配置性。开源固件甚至有助于在厂商停止支持底层硬件后延长路由器使用寿命,但仍需用户手动检查和安装可用更新。

值得庆幸的是,对拟议禁令感到担忧的TP-Link用户可能不必直接丢弃这些设备,因为许多TP-Link路由器也支持OpenWRT等开源固件选项。虽然这种方法可能无法消除任何潜在的硬件特定安全缺陷,但可以有效防范更常见的厂商特定漏洞,如未文档化用户账户、硬编码凭据以及允许攻击者绕过身份验证的弱点。

无论品牌如何,如果路由器已使用四五年,仅出于性能考虑可能就值得升级——特别是如果家庭或办公室主要通过WiFi访问互联网。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次