华硕(ASUS)由于路由器安全性漏洞,害得逾万位消费者的资料曝露在危险之下,遭美国联邦贸易委员会(US Federal Trade Commission)起诉,在经过 2 年的调查,华硕终于在 23 日与 FTC 达成和解,而华硕路由器被起诉的事件可说是路由器产业的一大指标事件。FTC 提出,华硕应该建立并维运一套路由器的资讯安全计划,在接下来 20 年接受独立的审核管制。
路由器软件漏洞,家用网络、电脑人人都连得上
在 2014 年,好几千个使用华硕路由器的使用者在他们的装置上发现一个令人不安的文字档,里面写着“这是一份自动寄给每一个被感染的使用者的讯息。你的华硕路由器(以及你的档案)可以被世界上任何人从网络上取得。”
FTC 指出,华硕在行销时强调他的路由器有很多安全措施,能够保护使用者的电脑不会被没授权的人入侵,被骇,被病毒攻击;但因为华硕的软件漏洞,骇客可以在使用者没察觉的情况下,从网页版控制中心改变路由器安全设定,有资安专家发现,骇客重新设定路由器后,可以强行霸占使用者的网络带宽。FTC 也指出,华硕路由器还有其他设计上的缺失,像是预设的账号密码皆为“admin”,而 华硕竟然允许使用者沿用预设。
此外,华硕路由器提供的 AiCloud 和 AiDisk 功能,可以让使用者插入 USB 建立自己的私有云端空间,在任何装置、任何地点,都能连回私有云存取资料。FTC 指控,华硕的漏洞让骇客只要透过浏览器输入特定 URL,就可以跳过登入页面,直接取得使用者存在 USB 储存装置的资料。而且 AiDisk 功能在传输时根本没有加密,它的预设隐私设定,更让所有在网络上的人都能连上使用者的储存装置。
FTC 声明说到,在 2014 年时,骇客利用华硕的漏洞取得超过 1 万 2900 使用者的连网储存装置。此外当漏洞被发现后,华硕并没有强调并通知使用者这项问题,而且也没有通知使用者可以下载安全更新。
在华硕与 FTC 和解后,FTC 要求华硕建立并维运一套路由器的资讯安全计划,在接下来 20 年接受独立的审核管制。
联邦贸易委员会强调:路由器是物联网安全的关键角色
FTC 对华硕在路由器安全上的控诉,也是路由器产业的一大警讯。FTC 消费者保护部门主管 Jessica Rich 特别在声名中强调,物联网发展相当迅速,数百万的消费者把智慧装置联上家用网络,而路由器在家用网络安全扮演十分关键的角色。因此对于华硕这类制造路由器的公司来说,提供合理的安全机制,保护消费者及他们的个人资讯是很重要的。
在华硕路由器被入侵收到匿名讯息的几个月后,资安研究人员发现有 30 万台家用或小型公司用的路由器同样曝露在风险中,制造商包含 D-Link、Micronet、腾达科技(Tenda)、TP-Link 等。
资料来源:
- FTC : ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk
- Ars Technica : Asus lawsuit puts entire industry on notice over shoddy router security
延伸阅读:
- Google 联手 TP-LINK 推出傻瓜都能用的 Wi-Fi 路由器 OnHub,还是个 Brillo 物联网装置
- 韩国市占 80%,TOTOLINK 路由器被爆后门
- 你家的 Wi-Fi 路由器还没设密码吗?当心因此成盗刷集团帮凶
(首图来源:达志影像)
