盟泰科技

热门关键词: 绵阳 秦皇岛 白银

您的位置: 主页 > 新闻动态 > 激光百科 >
华硕与美FTC和解:旗下路由器接受20年安全检查
作者:admin 来源: 盟泰科技 点击:
信息摘要:
北京时间2月24日消息,据英国科技网站TheRegister报道,华硕已经与美国联邦贸易委员会(以下简称FTC)达成和解,在未来20年里,这家台湾公司的路由器和固件产品每两年将接受一次独立安...

  北京时间2月24日消息,据英国科技网站TheRegister报道,华硕已经与美国联邦贸易委员会(以下简称FTC)达成和解,在未来20年里,这家台湾公司的路由器和固件产品每两年将接受一次独立安全检查。

  路由器存在严重安全漏洞

  此案发生于2014年2月份,当时黑客利用华硕家用路由器产品线上的一个安全漏洞,控制了美国1.29万个家用路由器。FTC随后展开了调查,结果发现华硕固件存在大量严重的安全漏洞,该公司在固件升级上的做法也具有非常大的风险。

 

  FTC消费者保护部门主管杰西卡里奇(JessicaRich)表示:物联网行业正在取得飞速发展,数以百万计的消费者将智能设备连接到他们的家庭网络上。路由器在确保这些家庭网络安发挥着重要作用,所以在保护消费者及其个人信息方面,华硕等公司制订严格的安全措施就显得至关重要了。

  FTC调查发现,华硕称旗下路由器产品也有安全代码,可以保护计算机不会遭受未授权访问、入侵和病毒攻击,让本地网络免遭黑客们的攻击。但在实践中,华硕路由器代码却充斥着大量安全漏洞,而且很容易被攻击者发现。

  调查人员发现,华硕路由器有一个无处不在的安全漏洞,攻击者只要通过一个基于Web的控制面板,就能远程关闭安全设置。FTC调查还发现,每一台路由器的默认登录凭证都将用户名和密码设置为admin,从而让黑客的攻击非常容易得手。

  AiCloud和AiDisk服务

  FTC特别调查了华硕AiCloud和AiDisk服务存在的问题。凭借AiCloud服务,用户可以将U盘插入路由器,将它当作迷你云存储设备使用。然而,如果攻击者掌握了目标的IP地址,他们就可以绕开AiCloud安全授权屏幕。另外,由于登录细节是用明码(plaintext)传输的,所以黑客还可以针对AiCloud实施中间人攻击。

  华硕早在2014年6月份接到了消费者的投诉,但该公司并没有向消费者作出任何回复。虽然华硕在第二个月发布了一个安全补丁,可并未通知用户必须在接下来的8个月里升级固件。

  AiDisk服务还允许用户访问与路由器连接的USB设备,但这一次是通过FTP。AiDisk的默认设置是无限访问权,也就是说,只要知道了对方的IP地址,用户就可以随意访问其存储设备上的内容,即便不是故意的。

  如果用户想要锁定数据,华硕建议他们使用安全性不强的登录凭证,将用户名和密码设置为家庭(family)这个默认选项。而且,登录凭证也是以明码发送。

  2013年7月份,安全研究人员与华硕取得了联系,告诉该公司有超过2.5万台AiDisk设备相关信息外泄;2014年1月份,多家媒体曝光了这一事件。然而,在一家大型零售商对这一问题进行投诉后,华硕只是更改了默认设置,而且直到2月份才通知用户。

  固件升级问题

  这并不是说升级固件是一件很容易的事情。华硕路由器管理面板也有一个检查升级按钮,但FTC调查发现这个按钮没什么用处。这是因为,华硕并没有适当地设置升级服务器,所以在许多情况下,用户在检查升级时,会被告知没有固件升级。

  此外,华硕并未对其固件实施任何类型的渗透测试,也缺乏基本的安全系统。结果,一个黑客组织在2014年2月份,利用免费工具扫描华硕路由器IP地址,发现了12937台易于攻击的设备,同时还破解了3131个AiCloud帐号并公布在网上。

  接受长达20年的独立安全检查

  作为与FTC和解此案的条件之一,华硕将不得不聘请独立的安全专家,每隔两年对公司路由器的固件做一次全面检查,而且这种独立的安全检查将持续20年时间。

  此外,华硕还必须与现有用户取得联系,在需要进行固件升级时通知他们,并在安全补丁上线30日内通知用户及时修复漏洞。如果华硕未能遵守这一规定,那么将来每发生一起这样的事情,该公司就必须接受1.6万美元的罚款。

  所有这一切对华硕来说都是坏消息,但其他路由器厂商也有可能会受到FTC的调查。很显然,华硕并不是一家安全措施不到位的路由器厂商,FTC有可能还会对其他路由器厂商展开调查。

本文章地址: https://www.mornlaser.cn/xinwen/zhishi/3383/

产品分类: 激光切割机 激光焊接机 激光清洗机 激光打标机 CO2