華碩(ASUS)由於路由器安全性漏洞,害得逾萬位消費者的資料曝露在危險之下,遭美國聯邦貿易委員會(US Federal Trade Commission)起訴,在經過 2 年的調查,華碩終於在 23 日與 FTC 達成和解,而華碩路由器被起訴的事件可說是路由器產業的一大指標事件。FTC 提出,華碩應該建立並維運一套路由器的資訊安全計畫,在接下來 20 年接受獨立的審核管制。
路由器軟體漏洞,家用網路、電腦人人都連得上
在 2014 年,好幾千個使用華碩路由器的使用者在他們的裝置上發現一個令人不安的文字檔,裡面寫著「這是一份自動寄給每一個被感染的使用者的訊息。你的華碩路由器(以及你的檔案)可以被世界上任何人從網路上取得。」
FTC 指出,華碩在行銷時強調他的路由器有很多安全措施,能夠保護使用者的電腦不會被沒授權的人入侵,被駭,被病毒攻擊;但因為華碩的軟體漏洞,駭客可以在使用者沒察覺的情況下,從網頁版控制中心改變路由器安全設定,有資安專家發現,駭客重新設定路由器後,可以強行霸佔使用者的網路頻寬。FTC 也指出,華碩路由器還有其他設計上的缺失,像是預設的帳號密碼皆為「admin」,而 華碩竟然允許使用者沿用預設。
此外,華碩路由器提供的 AiCloud 和 AiDisk 功能,可以讓使用者插入 USB 建立自己的私有雲端空間,在任何裝置、任何地點,都能連回私有雲存取資料。FTC 指控,華碩的漏洞讓駭客只要透過瀏覽器輸入特定 URL,就可以跳過登入頁面,直接取得使用者存在 USB 儲存裝置的資料。而且 AiDisk 功能在傳輸時根本沒有加密,它的預設隱私設定,更讓所有在網路上的人都能連上使用者的儲存裝置。
FTC 聲明說到,在 2014 年時,駭客利用華碩的漏洞取得超過 1 萬 2900 使用者的連網儲存裝置。此外當漏洞被發現後,華碩並沒有強調並通知使用者這項問題,而且也沒有通知使用者可以下載安全更新。
在華碩與 FTC 和解後,FTC 要求華碩建立並維運一套路由器的資訊安全計畫,在接下來 20 年接受獨立的審核管制。
聯邦貿易委員會強調:路由器是物聯網安全的關鍵角色
FTC 對華碩在路由器安全上的控訴,也是路由器產業的一大警訊。FTC 消費者保護部門主管 Jessica Rich 特別在聲名中強調,物聯網發展相當迅速,數百萬的消費者把智慧裝置聯上家用網路,而路由器在家用網路安全扮演十分關鍵的角色。因此對於華碩這類製造路由器的公司來說,提供合理的安全機制,保護消費者及他們的個人資訊是很重要的。
在華碩路由器被入侵收到匿名訊息的幾個月後,資安研究人員發現有 30 萬台家用或小型公司用的路由器同樣曝露在風險中,製造商包含 D-Link、Micronet、騰達科技(Tenda)、TP-Link 等。
資料來源:
- FTC : ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk
- Ars Technica : Asus lawsuit puts entire industry on notice over shoddy router security
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!