[已解决]小米路由留有后门？

qq329889612

    有网友给出了解释，这是电信的e-link功能，谢谢。    不过，这样相当于把路由控制权完全交给网关了，如果是默认是打开的，感觉不太好。

    过年回家遇到的问题，不太确定，大家帮忙看看，本来发在小米论坛上，但好像显示不出来，所以又发到这里，小米是基于OPENWRT的，所以发在这个版块也应该没啥毛病吧。    小米帖子链接
原文如下
    首先要说的是，楼主技术水平有限，如果有误，欢迎讨论指正，同时希望小米能解释一下这个问题。
    事情是这样的，老家换了光纤，是电信网关+小米路由3的方案。过年回家，想重新设置下SSID，发现设置是在电信网关里面（不是在小米路由3里面），然后设置完后，会自动同步到小米路由3上，这成功地引起了我的注意，有两个原因：
    1.身为IT技术男，我很好奇它具体的实现方式；
    2.这涉及到安全问题，因为小米路由3是通过WAN口跟电信网关连接的，正常情况下，WAN是有防火墙的，默认不会开放端口，理论上，是不能够通过外网控制路由的（从安全性的角度来看，也不应该能控制）。

    关于外网控制路由，如果考虑到安全，一开始，楼主想到有两种可能性：
    1.网关存有路由的身份鉴定信息，比如网关知道小米路由登陆密码，但楼主尝试更改路由的默认登陆密码，依然会受控；
    2.路由不是官方固件，而是电信修改版的，楼主同样尝试恢复出厂，并且刷成开发版，依然会受控；

    到这里，楼主得出两个结论：
    1.路由存在后门；
    2.后门是小米固件原生存在的；

    这样就比较可怕了，比如黑客掌握了这个技术，那完全可以随意入侵我们的路由，退一步，即使小米采用了身份认证，并且严格管控密钥，但至少意味着我们的路由完全受小米控制，不论我们怎么更改登陆密码。

    于是楼主开了SSH，同时抓包，最后发现路由上有个进程 elink，开启后，路由会定时连接网关的32768端口（百度了下，这是个TMS端口），楼主尝试将这个进程关掉，然后路由就恢复正常了，再也不受电信网关控制。

    所以楼主最后得出一个结论，小米路由启用了TMS，按照楼主的理解，相当于在路由上装了个木马，小米爱怎么控制我们的路由，就怎么控制，完全无需用户同意。希望这个问题及elink，小米能解释一下，楼主辛苦地敲了这么多字也不容易啊。

dy0121

现在很多路由支持e-link功能。自动同步光猫WiFi配置信息。不用担心，关掉即可

qq329889612

dy0121 发表于 2018-2-22 22:36
现在很多路由支持e-link功能。自动同步光猫WiFi配置信息。不用担心，关掉即可

原来是这样，了解了，谢谢，楼主还在那边自己折腾了老半天，好愚蠢。

龙成发展

自动同步光猫WiFi配置信息！不是有这选项吗

qq329889612

龙成发展 发表于 2018-2-22 22:48
自动同步光猫WiFi配置信息！不是有这选项吗

嗯，楼上有网友解释了，楼主比较孤陋寡闻哈。

m0ekr

emmm这里有几个点

1. 这东西不是搜一下就有了么，详情看链接，简单来讲就是电信主导的、路由厂商接入的用来实现配置同步、无缝漫游等功能的一套协议
2. 那个TMS是IBM FileNet Image Services的协议，和这里没半毛钱关系
3. 所谓“黑客掌握了这个技术，那完全可以随意入侵我们的路由”，不是很懂你怎么推理出来的。这里我们分析一下，我假设性的认为这个elink协议只会向上级网关发起请求，而目前无非两种联网方式：光猫桥接+路由拨号；光猫拨号+路由DHCPC。第一种情况下，上级网关是运营商机房的PPPoE Server，运营商被黑这个概率我觉得可以忽略不计吧；第二种情况下，上级网关就是光猫，而光猫拨号的话明显在网络侧也还会有一层防火墙，根本谈不上随意入侵
4. 所谓“相当于在路由上装了个木马”，那楼主来谈谈各家智能路由厂商的APP远程控制该怎么实现？
5. 楼上好快，码完了发现连个地板都没得。。。

qq329889612

m0ekr 发表于 2018-2-22 22:55
emmm这里有几个点

1. 这东西不是搜一下就有了么，详情看链接，简单来讲就是电信主导的、路由厂商接入的 ...

哈哈哈，楼主本来就比较水，不过还是要挣扎一下。
1.楼主看到elink这个进程的时候，没有百度一下，是楼主的错；
2.TMS，楼主认为解释应该是Terminal Management System，这是楼主后来结合这个进程目的，认为的解释；
3.黑客掌握这个技术，楼主考虑的当然是WAN口暴露在外的情况，比如小区通过以太网线PPPOE拨号的情况，这时侯，黑客只要剪断网线，并接上一个网关，就可以获得路由的控制权，或者运营商工作人员想搞啥小动作，完全可以借工作之便下发配置；
4.木马和远程APP的差别，楼主认为主要是身份认证，远程APP会对服务器的请求进行认证，而这个并没有，所以从行为上，楼主把它划分为木马。
这波解释如何

qq329889612

m0ekr 发表于 2018-2-22 22:55
emmm这里有几个点

1. 这东西不是搜一下就有了么，详情看链接，简单来讲就是电信主导的、路由厂商接入的 ...

应该是远程APP和木马本来就差不多，只不过一个控制权在黑客那里，一个控制权在用户那里。

hcyme

k3c也有tr069

m0ekr

qq329889612 发表于 2018-2-22 23:13
哈哈哈，楼主本来就比较水，不过还是要挣扎一下。
1.楼主看到elink这个进程的时候，没有百度一下，是楼 ...

精彩，精彩.jpg

剪网线这个也太imba了，就为了黑一户普通人家，我觉得除非是有仇，要不然没人会这样么干
工作人员的话，按道理这个协议也就是路由从光猫同步配置，反向应该是不行的，那么能做的也就是更改WiFi的SSID和密码，实际上这样做容易就会被发现，而且意义也不大，同时又获取不到原来的WiFi密码
最后，这个elink协议也不一定没有认证和加密，增加一层类SSL/TLS的壳又不难，主要看电信有没有这个心，不过说实话路由固件里没有提及这套系统并且没有开关才是最骚的

qq329889612

m0ekr 发表于 2018-2-22 23:35
精彩，精彩.jpg

剪网线这个也太imba了，就为了黑一户普通人家，我觉得除非是有仇，要不然没人会这样么 ...

是这样的啊，不开源，又没怎么介绍，楼主才会瞎猜，谁知道这套系统除了改WiFi密码，还可以干啥，比如楼主说的下发配置，把SSH端口打开，那不是爽歪歪，家里刚好再有个高清摄像头，Emm，简直不要太好，好吧，楼主脑洞可能是大了点。

qq329889612

m0ekr 发表于 2018-2-22 23:35
精彩，精彩.jpg

剪网线这个也太imba了，就为了黑一户普通人家，我觉得除非是有仇，要不然没人会这样么 ...

从安全性的角度来看，剪网线完全不Imba，因为这个破解动作成本并不高，稍微有点价值的东西，就完全值得这么做。

newreno

m0ekr 发表于 2018-2-22 22:55
emmm这里有几个点

1. 这东西不是搜一下就有了么，详情看链接，简单来讲就是电信主导的、路由厂商接入的 ...

运营商不用被黑，因为他们自己就很黑。

tcp劫持不就是运营商路由级劫持，给你弹广告、电商网址劫持添加返利信息、下载APP劫持成其他的。

sufeiy

光猫，也是有上级控制权的，百度是下发配置的，但是不知道会不会也是与楼主所说的那样了？？