華碩
北京時間2月24日消息,據英國科技網站TheRegister報道,華碩已經與美國聯邦貿易委員會(以下簡稱“FTC”)達成和解,在未來20年里,這家臺灣公司的路由器和固件產品每兩年將接受一次獨立安全檢查。
路由器存在嚴重安全漏洞
此案發生于2014年2月份,當時黑客利用華碩家用路由器產品線上的一個安全漏洞,控制了美國1.29萬個家用路由器。FTC隨后展開了調查,結果發現華碩固件存在大量嚴重的安全漏洞,該公司在固件升級上的做法也具有非常大的風險。
FTC消費者保護部門主管杰西卡·里奇(Jessica Rich)表示:“物聯網行業正在取得飛速發展,數以百萬計的消費者將智能設備連接到他們的家庭網絡上。路由器在確保這些家庭網絡安全方面發揮著重要作用,所以在保護消費者及其個人信息方面,華碩等公司制訂嚴格的安全措施就顯得至關重要了。”
FTC調查發現,華碩稱旗下路由器產品也有安全代碼,“可以保護計算機不會遭受未授權訪問、入侵和病毒攻擊,讓本地網絡免遭黑客們的攻擊。”但在實踐中,華碩路由器代碼卻充斥著大量安全漏洞,而且很容易被攻擊者發現。
調查人員發現,華碩路由器有一個“無處不在的安全漏洞”,攻擊者只要通過一個基于Web的控制面板,就能遠程關閉安全設置。FTC調查還發現,每一臺路由器的默認登錄憑證都將用戶名和密碼設置為“admin”,從而讓黑客的攻擊非常容易得手。
AiCloud和AiDisk服務
FTC特別調查了華碩AiCloud和AiDisk服務存在的問題。憑借AiCloud服務,用戶可以將U盤插入路由器,將它當作迷你云存儲設備使用。然而,如果攻擊者掌握了目標的IP地址,他們就可以繞開AiCloud安全授權屏幕。另外,由于登錄細節是用明碼(plaintext)傳輸的,所以黑客還可以針對AiCloud實施“中間人攻擊”。
華碩最早在2014年6月份接到了消費者的投訴,但該公司并沒有向消費者作出任何回復。雖然華碩在第二個月發布了一個安全補丁,可并未通知用戶必須在接下來的8個月里升級固件。
AiDisk服務還允許用戶訪問與路由器連接的USB設備,但這一次是通過FTP。AiDisk的默認設置是“無限訪問權”,也就是說,只要知道了對方的IP地址,用戶就可以隨意訪問其存儲設備上的內容,即便不是故意的。
如果用戶想要鎖定數據,華碩建議他們使用安全性不強的登錄憑證,將用戶名和密碼設置為“家庭”(family)這個默認選項。而且,登錄憑證也是以明碼發送。
2013年7月份,安全研究人員與華碩取得了聯系,告訴該公司有超過2.5萬臺AiDisk設備相關信息外泄;2014年1月份,多家媒體曝光了這一事件。然而,在一家大型零售商對這一問題進行投訴后,華碩只是更改了默認設置,而且直到2月份才通知用戶。
固件升級問題
這并不是說升級固件是一件很容易的事情。華碩路由器管理面板也有一個“檢查升級”按鈕,但FTC調查發現這個按鈕沒什么用處。這是因為,華碩并沒有適當地設置升級服務器,所以在許多情況下,用戶在檢查升級時,會被告知沒有固件升級。
此外,華碩并未對其固件實施任何類型的滲透測試,也缺乏基本的安全系統。結果,一個黑客組織在2014年2月份,利用免費工具掃描華碩路由器IP地址,發現了12937臺易于攻擊的設備,同時還破解了3131個AiCloud帳號并公布在網上。
接受長達20年的獨立安全檢查
作為與FTC和解此案的條件之一,華碩將不得不聘請獨立的安全專家,每隔兩年對公司路由器的固件做一次全面檢查,而且這種獨立的安全檢查將持續20年時間。
此外,華碩還必須與現有用戶取得聯系,在需要進行固件升級時通知他們,并在安全補丁上線30日內通知用戶及時修復漏洞。如果華碩未能遵守這一規定,那么將來每發生一起這樣的事情,該公司就必須接受1.6萬美元的罰款。
所有這一切對華碩來說都是壞消息,但其他路由器廠商也有可能會受到FTC的調查。很顯然,華碩并不是唯一一家安全措施不到位的路由器廠商,FTC有可能還會對其他路由器廠商展開調查。
京公網安備 11010502049343號