据英国科技网站TheRegister报道,华硕已经与美国联邦贸易委员会(以下简称“FTC”)达成和解,在未来20年里,这家台湾公司的路由器和固件产品每两年将接受一次独立安全检查。此案发生于2014年2月份,当时黑客利用华硕家用路由器产品线上的一个安全漏洞,控制了美国1.29万个家用路由器。FTC随后展开了调查,结果发现华硕固件存在大量严重的安全漏洞,该公司在固件升级上的做法也具有非常大的风险。
路由器存在严重安全漏洞
FTC消费者保护部门主管杰西卡·里奇(Jessica Rich)表示:“物联网行业正在取得飞速发展,数以百万计的消费者将智能设备连接到他们的家庭网络上。路由器在确保这些家庭网络安全方面发挥着重要作用,所以在保护消费者及其个人信息方面,华硕等公司制订严格的安全措施就显得至关重要了。”
FTC调查发现,华硕称旗下路由器产品也有安全代码,“可以保护计算机不会遭受未授权访问、入侵和病毒攻击,让本地网络免遭黑客们的攻击。”但在实践中,华硕路由器代码却充斥着大量安全漏洞,而且很容易被攻击者发现。
调查人员发现,华硕路由器有一个“无处不在的安全漏洞”,攻击者只要通过一个基于Web的控制面板,就能远程关闭安全设置。FTC调查还发现,每一台路由器的默认登录凭证都将用户名和密码设置为“admin”,从而让黑客的攻击非常容易得手。
AiCloud和AiDisk服务
FTC特别调查了华硕AiCloud和AiDisk服务存在的问题。凭借AiCloud服务,用户可以将U盘插入路由器,将它当作迷你云存储设备使用。然而,如果攻击者掌握了目标的IP地址,他们就可以绕开AiCloud安全授权屏幕。另外,由于登录细节是用明码(plaintext)传输的,所以黑客还可以针对AiCloud实施“中间人攻击”。
华硕最早在2014年6月份接到了消费者的投诉,但该公司并没有向消费者作出任何回复。虽然华硕在第二个月发布了一个安全补丁,可并未通知用户必须在接下来的8个月里升级固件。
AiDisk服务还允许用户访问与路由器连接的USB设备,但这一次是通过FTP。AiDisk的默认设置是“无限访问权”,也就是说,只要知道了对方的IP地址,用户就可以随意访问其存储设备上的内容,即使不是故意的。
如果用户想要锁定数据,华硕建议他们使用安全性不强的登录凭证,将用户名和密码设置为“家庭”(family)这个默认选项。而且,登录凭证也是以明码发送。
2013年7月份,安全研究人员与华硕取得了联系,告诉该公司有超过2.5万台AiDisk设备相关信息外泄;2014年1月份,多家媒体曝光了这一事件。然而,在一家大型零售商对这一问题进行投诉后,华硕只是更改了默认设置,而且直到2月份才通知用户。
固件升级问题
这并不是说升级固件是一件很容易的事情。华硕路由器管理面板也有一个“检查升级”按钮,但FTC调查发现这个按钮没什么用处。这是因为,华硕并没有适当地设置升级服务器,所以在许多情况下,用户在检查升级时,会被告知没有固件升级。
此外,华硕并未对其固件实施任何类型的渗透测试,也缺乏基本的安全系统。结果,一个黑客组织在2014年2月份,利用免费工具扫描华硕路由器IP地址,发现了12937台易于攻击的设备,同时还破解了3131个AiCloud帐号并公布在网上。
接受长达20年的独立安全检查
作为与FTC和解此案的条件之一,华硕将不得不聘请独立的安全专家,每隔两年对公司路由器的固件做一次全面检查,而且这种独立的安全检查将持续20年时间。
此外,华硕还必须与现有用户取得联系,在需要进行固件升级时通知他们,并在安全补丁上线30日内通知用户及时修复漏洞。如果华硕未能遵守这一规定,那么将来每发生一起这样的事情,该公司就必须接受1.6万美元的罚款。
所有这一切对华硕来说都是坏消息,但其他路由器厂商也有可能会受到FTC的调查。很显然,华硕并不是唯一一家安全措施不到位的路由器厂商,FTC有可能还会对其他路由器厂商展开调查。
未经允许不得转载:陈丹的博客 » 华硕与美FTC和解:旗下路由器接受20年安全检查