忽视无线路由器安全问题 华硕面临20年审计

2020-05-1721:37:34 评论 0

华硕目前可谓麻烦缠身,因为路由器安全问题,美国联邦贸易委员会(FTC)对它提起了法律诉讼。

 

忽视无线路由器安全问题 华硕面临20年审计

 

本周二,FTC与华硕达成协议,该硬件制造商同意未来20年内,每两年进行一次独立安全审计。一旦违反该和解协议,华硕将面临每次1.6万美元的民事罚款。

 

造成这种结果,完全是由于华硕无线路由器长久以来忽视安全问题,让成千上万消费者的家庭和公司网络处于风险之中。

 

华硕路由器的重大安全隐患

 

华硕在网站上鼓吹自己的产品是安全而智能的路由器,但以下几大缺陷有辱其安全和智能的标签:

 

1. 默认用户名&密码:ADMIN

 

2014年,华硕产品默认密码问题进入公众视线,引起人们对这一严重安全问题的关注。华硕售出的路由器将用户名和密码域都预设成了默认值。

 

这种猜都能猜出来的凭证,让没什么高深技巧的脚本小子都能非法访问路由器,从而黑进受害者的网络。2014年,很多华硕路由器都遭到了这种形式的攻击。另外,华硕甚至没有提醒客户修改用户名和密码来保障网络的安全性及隐私性。

 

2. 路由器管理面板超好黑

 

调查过程中,FTC发现:几乎所有华硕采取的安全措施都被绕过了。

 

其中一个常见安全漏洞甚至能让黑客获得管理面板控制权限,可以通过这一网页接口关闭掉所有的安全设置。

 

3. 华硕AiCloud & AiDisk可被远程入侵

 

华硕名为AiCloud和AiDisk的云服务同样存在严重漏洞,黑客能在世界任一角落远程访问你的硬盘,造成整个系统被破坏。

 

AiCloud能向用户提供迷你云服务,只要将USB闪盘插入路由器,就能浏览云上的文件。

 

但由于传输过程中没有对登录细节进行加密,AICloud很容易遭到中间人攻击。

 

早在2014年1月就有人报告过这个问题,但华硕并没有在打上补丁后建议其用户升级固件,显示出明显的过失。

 

4. “更新检查”就是个幌子

 

无论从哪方面讲,经常性的更新升级通常都是漏洞杀手。但在华硕这里,情况就不一样了。

 

根据汇总的报告,FTC发现,“检查更新”的按钮就是个幌子,根本没有嵌入任何特别的功能。管理员根本没法将最新的补丁导入到更新数据库,用户按下按钮搜索更新将毫无结果。

 

简而言之,黑客们可以堂而皇之地玩弄任何华硕路由器的安全特性,为登入华硕路由器那一团糟的管理策略留下一道任意门。

 

FTC不仅对华硕的虚假安全声明不满,对该公司的响应时间也不甚满意。总之,所有这些不满都足以断定华硕在安全措施上的懒散松懈。

 

物联网设备危机

 

这种虚幻的安全若发生在物联网环境,情况甚至会更加严重。由于路由器是物联网设备的网关,路由器若有漏洞,攻击者便可以很容易地在这些设备上执行自定义的指令。

 

物联网正在经历跨越式发展,无数消费者将智能设备接入家庭网络。路由器在保护这些家庭网络的安全上扮演着举足轻重的角色,因此,像华硕这样的公司实施恰当的安全措施保护消费者及其个人信息就变得尤为关键。

 

华硕明显要遵循正确的做法,一有更新就通知用户,并提供合适的说明引导用户进行更新。而曝光华硕这些愚蠢的安全漏洞,只是给其他路由器厂商提个醒,安全这根弦必须上紧。

 

华硕产品的漏洞进入到聚光灯下是在2014年,但仅仅一个月之后,D-Link、Micronet、TendaTP-Link和其他厂商生产的30万台家用和迷你路由器就被人用同样的方法攻击了。

 

---

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: