1. XenForo 1.5.14 中文版——支持中文搜索!现已发布!查看详情
  2. Xenforo 爱好者讨论群:215909318 XenForo专区

科技 华硕与美FTC和解:旗下路由器接受20年安全检查

本帖由 漂亮的石头2016-02-24 发布。版面名称:新闻聚焦

  1. 漂亮的石头

    漂亮的石头 版主 管理成员

    注册:
    2012-02-10
    帖子:
    484,883
    赞:
    46
    据英国科技网站TheRegister报道,华硕已经与美国联邦贸易委员会(以下简称“FTC”)达成和解,在未来20年里,这家台湾公司的路由器和固件产品每两年将接受一次独立安全检查。此案发生于2014年2月份,当时黑客利用华硕家用路由器产品线上的一个安全漏洞,控制了美国1.29万个家用路由器。FTC随后展开了调查,结果发现华硕固件存在大量严重的安全漏洞,该公司在固件升级上的做法也具有非常大的风险。


    路由器存在严重安全漏洞

    FTC消费者保护部门主管杰西卡·里奇(Jessica Rich)表示:“物联网行业正在取得飞速发展,数以百万计的消费者将智能设备连接到他们的家庭网络上。路由器在确保这些家庭网络安全方面发挥着重要作用,所以在保护消费者及其个人信息方面,华硕等公司制订严格的安全措施就显得至关重要了。”

    FTC调查发现,华硕称旗下路由器产品也有安全代码,“可以保护计算机不会遭受未授权访问、入侵和病毒攻击,让本地网络免遭黑客们的攻击。”但在实践中,华硕路由器代码却充斥着大量安全漏洞,而且很容易被攻击者发现。

    调查人员发现,华硕路由器有一个“无处不在的安全漏洞”,攻击者只要通过一个基于Web的控制面板,就能远程关闭安全设置。FTC调查还发现,每一台路由器的默认登录凭证都将用户名和密码设置为“admin”,从而让黑客的攻击非常容易得手。

    AiCloud和AiDisk服务

    FTC特别调查了华硕AiCloud和AiDisk服务存在的问题。凭借AiCloud服务,用户可以将U盘插入路由器,将它当作迷你云存储设备使用。然而,如果攻击者掌握了目标的IP地址,他们就可以绕开AiCloud安全授权屏幕。另外,由于登录细节是用明码(plaintext)传输的,所以黑客还可以针对AiCloud实施“中间人攻击”。

    华硕最早在2014年6月份接到了消费者的投诉,但该公司并没有向消费者作出任何回复。虽然华硕在第二个月发布了一个安全补丁,可并未通知用户必须在接下来的8个月里升级固件。

    AiDisk服务还允许用户访问与路由器连接的USB设备,但这一次是通过FTP。AiDisk的默认设置是“无限访问权”,也就是说,只要知道了对方的IP地址,用户就可以随意访问其存储设备上的内容,即便不是故意的。

    如果用户想要锁定数据,华硕建议他们使用安全性不强的登录凭证,将用户名和密码设置为“家庭”(family)这个默认选项。而且,登录凭证也是以明码发送。

    2013年7月份,安全研究人员与华硕取得了联系,告诉该公司有超过2.5万台AiDisk设备相关信息外泄;2014年1月份,多家媒体曝光了这一事件。然而,在一家大型零售商对这一问题进行投诉后,华硕只是更改了默认设置,而且直到2月份才通知用户。

    固件升级问题

    这并不是说升级固件是一件很容易的事情。华硕路由器管理面板也有一个“检查升级”按钮,但FTC调查发现这个按钮没什么用处。这是因为,华硕并没有适当地设置升级服务器,所以在许多情况下,用户在检查升级时,会被告知没有固件升级。

    此外,华硕并未对其固件实施任何类型的渗透测试,也缺乏基本的安全系统。结果,一个黑客组织在2014年2月份,利用免费工具扫描华硕路由器IP地址,发现了12937台易于攻击的设备,同时还破解了3131个AiCloud帐号并公布在网上。

    接受长达20年的独立安全检查

    作为与FTC和解此案的条件之一,华硕将不得不聘请独立的安全专家,每隔两年对公司路由器的固件做一次全面检查,而且这种独立的安全检查将持续20年时间。

    此外,华硕还必须与现有用户取得联系,在需要进行固件升级时通知他们,并在安全补丁上线30日内通知用户及时修复漏洞。如果华硕未能遵守这一规定,那么将来每发生一起这样的事情,该公司就必须接受1.6万美元的罚款。

    所有这一切对华硕来说都是坏消息,但其他路由器厂商也有可能会受到FTC的调查。很显然,华硕并不是唯一一家安全措施不到位的路由器厂商,FTC有可能还会对其他路由器厂商展开调查。
     
  2. 快乐的放屁豆

    快乐的放屁豆 入门会员

    注册:
    2016-02-25
    帖子:
    1
    赞:
    0
    飘过~苹果不也出现资料泄露,黑客都是闲的
     
    最后编辑: 2016-02-26
正在加载...