华硕诉讼引发全行业关注劣质路由器安全

  • 栏目:资讯信息 时间:2018-07-15

2014年2月,成千上万的华硕路由器所有者发现了保存在设备上的令人不安的文本文件。

进一步准备亲爱的Asus路由器用户:由于容易被利用的漏洞这是一个自动发送给每个受影响的[ sic的消息],消息内容如下。您的Asus路由器(和您的文档)可以由世界上任何人通过Internet连接访问。匿名发件人随后敦促读者访问一个网站,详细说明路由器漏洞。

周二,美国联邦贸易委员会对指控硬件制造商未能按照联邦法律的要求保护消费者的指控进行了和解。该解决方案解决了一项投诉,称2014年的大规模妥协是漏洞造成的,这些漏洞允许攻击者远程登录路由器,并根据用户配置更改安全设置或访问存储在连接设备上的文件。根据协议,华硕将在未来20年维持一个全面的安全计划,接受独立审计。

唤醒呼叫这个动作应该是唤醒呼叫,不仅仅是针对其他路由器制造商,而是整个与所谓的物联网浪潮相关的行业,这种浪潮增加了冰箱、手表和其他日常设备的互联网连接。在过去的几年里,研究人员发现了一系列的安全缺陷,使得这类设备有可能被攻击者远程劫持。黑客经常利用自己的位置在设备上安装恶意代码,或者暗中监视所有者的行踪。华硕用户收到这一不祥消息后一个月,研究人员发现,D - Link、Micronet、Tenda、TP - Link等生产的30多万台家用和小型办公室路由器遭到破坏。FTC消费者保护局局长Jessica Rich在一份声明中说,

物联网正在飞速发展,数百万消费者将智能设备连接到他们的家庭网络。路由器在保护这些家庭网络的安全方面起着关键作用,因此像华硕这样的公司必须采取合理的安全措施来保护消费者及其个人信息。

根据投诉,Asus密码保护通常很容易绕过,要么是向易受攻击的路由器提供一个特殊的URL,该URL应该只有在输入凭据后才能访问,要么是利用跨站点请求伪造或跨站点脚本漏洞。FTC律师还对Asus手册中提供的密码建议提出质疑,其中一个案例建议用户使用用户名 family 和相同密码在路由器上访问安全文件。

这些文件可通过名为aiclood和AiDisk的服务获得。它们允许用户将硬盘插入路由器,以便其他连接的设备可以访问文件。ASUS将这些服务营销为用于选择性文件共享的私有个人云,以及通过路由器安全保护和访问您珍贵数据的方法,尽管这些服务存在易于利用的漏洞。此外,在AiDisk的情况下,该服务依赖于文件传输协议实现,在数据通过网络传输时不加密数据。

进一步准备黑客劫持30多万台无线路由器,进行恶意更改根据FTC,这些漏洞允许攻击者在2014年2月获得对12900台Asus路由器的未经授权访问。投诉称,至少有一名路由器遭到黑客攻击的用户报告说,在黑客访问了附在设备上的个人数据后,他们成为身份欺诈的受害者。一个月后,在上述黑客攻击其他制造商30万台路由器的过程中,攻击者利用他们的访问权限更改安全设置。其中一项更改包括修改路由器域名服务器设置,将人性化域名转换为计算机使用的数字IP地址。此类更改可能导致连接的计算机访问窃取密码或安装恶意软件的恶意冒名顶替者站点,而不是站点所有者创建的正式目标。

FTC投诉称,华硕未能对其产品进行渗透测试,以测试它们是否容易受到互联网上的常见攻击。几乎可以肯定的是,华硕的几十个甚至数百个竞争对手也有同样的疏漏。周二的和解应该是对他们所有人的警醒,以确保他们的设备安全,否则将面临数十年的联邦监督。

更多阅读

Facebook说,人工智能人才外流并没有摧毁学术界

资讯信息 06-09
上周晚些时候,Facebook宣布在西雅图和匹兹堡开设新的人工智能实验室,以支持遍布硅谷、纽约、巴黎、蒙特利尔和特拉维夫设施的150多名研究人员组成......
查看全文

Android平板电脑的办公室就在这里——只要注意系统要

资讯信息 06-19
进一步阅读预览:Android平板电脑的Office就像iPad的Office,但是在Android今天,微软将发布Android平板电脑的Office最终版本,这是在发布第一个半公开的beta版...
查看全文

1690年代人们向专栏作家提出的问题

资讯信息 06-24
在一个关于诸如耳语和现已不复存在的秘密等忏悔应用程序起源的故事中,我最近提到了雅典水星,一个被广泛认为是发明现代建议专栏的1690年代英国...
查看全文
返回全部新闻

Copyright © 2017 时时彩杀号法 版权所有