号称高端的台湾华硕家用路由器存在大量严重安全漏洞,被 ...

华硕与美FTC和解：旗下路由器接受20年安全检查

2016-02-24 17:54:28 3669 次阅读 2 次推荐 稿源：凤凰网科技 6 条评论

据英国科技网站TheRegister报道，华硕已经与美国联邦贸易委员会（以下简称“FTC”）达成和解，在未来20年里，这家台湾公司的路由器和固件产品每两年将接受一次独立安全检查。此案发生于2014年2月份，当时黑客利用华硕家用路由器产品线上的一个安全漏洞，控制了美国1.29万个家用路由器。FTC随后展开了调查，结果发现华硕固件存在大量严重的安全漏洞，该公司在固件升级上的做法也具有非常大的风险。
路由器存在严重安全漏洞
FTC消费者保护部门主管杰西卡·里奇（Jessica Rich）表示：“物联网行业正在取得飞速发展，数以百万计的消费者将智能设备连接到他们的家庭网络上。路由器在确保这些家庭网络安全方面发挥着重要作用，所以在保护消费者及其个人信息方面，华硕等公司制订严格的安全措施就显得至关重要了。”
FTC调查发现，华硕称旗下路由器产品也有安全代码，“可以保护计算机不会遭受未授权访问、入侵和病毒攻击，让本地网络免遭黑客们的攻击。”但在实践中，华硕路由器代码却充斥着大量安全漏洞，而且很容易被攻击者发现。
调查人员发现，华硕路由器有一个“无处不在的安全漏洞”，攻击者只要通过一个基于Web的控制面板，就能远程关闭安全设置。FTC调查还发现，每一台路由器的默认登录凭证都将用户名和密码设置为“admin”，从而让黑客的攻击非常容易得手。
AiCloud和AiDisk服务
FTC特别调查了华硕AiCloud和AiDisk服务存在的问题。凭借AiCloud服务，用户可以将U盘插入路由器，将它当作迷你云存储设备使用。然而，如果攻击者掌握了目标的IP地址，他们就可以绕开AiCloud安全授权屏幕。另外，由于登录细节是用明码（plaintext）传输的，所以黑客还可以针对AiCloud实施“中间人攻击”。
华硕最早在2014年6月份接到了消费者的投诉，但该公司并没有向消费者作出任何回复。虽然华硕在第二个月发布了一个安全补丁，可并未通知用户必须在接下来的8个月里升级固件。
AiDisk服务还允许用户访问与路由器连接的USB设备，但这一次是通过FTP。AiDisk的默认设置是“无限访问权”，也就是说，只要知道了对方的IP地址，用户就可以随意访问其存储设备上的内容，即便不是故意的。
如果用户想要锁定数据，华硕建议他们使用安全性不强的登录凭证，将用户名和密码设置为“家庭”（family）这个默认选项。而且，登录凭证也是以明码发送。
2013年7月份，安全研究人员与华硕取得了联系，告诉该公司有超过2.5万台AiDisk设备相关信息外泄；2014年1月份，多家媒体曝光了这一事件。然而，在一家大型零售商对这一问题进行投诉后，华硕只是更改了默认设置，而且直到2月份才通知用户。
固件升级问题
这并不是说升级固件是一件很容易的事情。华硕路由器管理面板也有一个“检查升级”按钮，但FTC调查发现这个按钮没什么用处。这是因为，华硕并没有适当地设置升级服务器，所以在许多情况下，用户在检查升级时，会被告知没有固件升级。
此外，华硕并未对其固件实施任何类型的渗透测试，也缺乏基本的安全系统。结果，一个黑客组织在2014年2月份，利用免费工具扫描华硕路由器IP地址，发现了12937台易于攻击的设备，同时还破解了3131个AiCloud帐号并公布在网上。
接受长达20年的独立安全检查
作为与FTC和解此案的条件之一，华硕将不得不聘请独立的安全专家，每隔两年对公司路由器的固件做一次全面检查，而且这种独立的安全检查将持续20年时间。
此外，华硕还必须与现有用户取得联系，在需要进行固件升级时通知他们，并在安全补丁上线30日内通知用户及时修复漏洞。如果华硕未能遵守这一规定，那么将来每发生一起这样的事情，该公司就必须接受1.6万美元的罚款。
所有这一切对华硕来说都是坏消息，但其他路由器厂商也有可能会受到FTC的调查。很显然，华硕并不是唯一一家安全措施不到位的路由器厂商，FTC有可能还会对其他路由器厂商展开调查。华硕与美FTC和解：旗下路由器接受20年安全检查

2016-02-24 17:54:28 3669 次阅读 2 次推荐 稿源：凤凰网科技 6 条评论

据英国科技网站TheRegister报道，华硕已经与美国联邦贸易委员会（以下简称“FTC”）达成和解，在未来20年里，这家台湾公司的路由器和固件产品每两年将接受一次独立安全检查。此案发生于2014年2月份，当时黑客利用华硕家用路由器产品线上的一个安全漏洞，控制了美国1.29万个家用路由器。FTC随后展开了调查，结果发现华硕固件存在大量严重的安全漏洞，该公司在固件升级上的做法也具有非常大的风险。
路由器存在严重安全漏洞
FTC消费者保护部门主管杰西卡·里奇（Jessica Rich）表示：“物联网行业正在取得飞速发展，数以百万计的消费者将智能设备连接到他们的家庭网络上。路由器在确保这些家庭网络安全方面发挥着重要作用，所以在保护消费者及其个人信息方面，华硕等公司制订严格的安全措施就显得至关重要了。”
FTC调查发现，华硕称旗下路由器产品也有安全代码，“可以保护计算机不会遭受未授权访问、入侵和病毒攻击，让本地网络免遭黑客们的攻击。”但在实践中，华硕路由器代码却充斥着大量安全漏洞，而且很容易被攻击者发现。
调查人员发现，华硕路由器有一个“无处不在的安全漏洞”，攻击者只要通过一个基于Web的控制面板，就能远程关闭安全设置。FTC调查还发现，每一台路由器的默认登录凭证都将用户名和密码设置为“admin”，从而让黑客的攻击非常容易得手。
AiCloud和AiDisk服务
FTC特别调查了华硕AiCloud和AiDisk服务存在的问题。凭借AiCloud服务，用户可以将U盘插入路由器，将它当作迷你云存储设备使用。然而，如果攻击者掌握了目标的IP地址，他们就可以绕开AiCloud安全授权屏幕。另外，由于登录细节是用明码（plaintext）传输的，所以黑客还可以针对AiCloud实施“中间人攻击”。
华硕最早在2014年6月份接到了消费者的投诉，但该公司并没有向消费者作出任何回复。虽然华硕在第二个月发布了一个安全补丁，可并未通知用户必须在接下来的8个月里升级固件。
AiDisk服务还允许用户访问与路由器连接的USB设备，但这一次是通过FTP。AiDisk的默认设置是“无限访问权”，也就是说，只要知道了对方的IP地址，用户就可以随意访问其存储设备上的内容，即便不是故意的。
如果用户想要锁定数据，华硕建议他们使用安全性不强的登录凭证，将用户名和密码设置为“家庭”（family）这个默认选项。而且，登录凭证也是以明码发送。
2013年7月份，安全研究人员与华硕取得了联系，告诉该公司有超过2.5万台AiDisk设备相关信息外泄；2014年1月份，多家媒体曝光了这一事件。然而，在一家大型零售商对这一问题进行投诉后，华硕只是更改了默认设置，而且直到2月份才通知用户。
固件升级问题
这并不是说升级固件是一件很容易的事情。华硕路由器管理面板也有一个“检查升级”按钮，但FTC调查发现这个按钮没什么用处。这是因为，华硕并没有适当地设置升级服务器，所以在许多情况下，用户在检查升级时，会被告知没有固件升级。
此外，华硕并未对其固件实施任何类型的渗透测试，也缺乏基本的安全系统。结果，一个黑客组织在2014年2月份，利用免费工具扫描华硕路由器IP地址，发现了12937台易于攻击的设备，同时还破解了3131个AiCloud帐号并公布在网上。
接受长达20年的独立安全检查
作为与FTC和解此案的条件之一，华硕将不得不聘请独立的安全专家，每隔两年对公司路由器的固件做一次全面检查，而且这种独立的安全检查将持续20年时间。
此外，华硕还必须与现有用户取得联系，在需要进行固件升级时通知他们，并在安全补丁上线30日内通知用户及时修复漏洞。如果华硕未能遵守这一规定，那么将来每发生一起这样的事情，该公司就必须接受1.6万美元的罚款。
所有这一切对华硕来说都是坏消息，但其他路由器厂商也有可能会受到FTC的调查。很显然，华硕并不是唯一一家安全措施不到位的路由器厂商，FTC有可能还会对其他路由器厂商展开调查。