espirit42 wrote:
真的 能像我們這...(恕刪)
是喔!
那這篇你覺得如何?
忽視無線路由器安全問題華碩面臨20年審計
華碩目前可謂麻煩纏身,因為路由器安全問題,美國聯邦貿易委員會(FTC)對它提起了法律訴訟。
本周二,FTC與華碩達成協議,該硬體製造商同意未來20年內,每兩年進行一次獨立安全審計。一旦違反該和解協議,華碩將面臨每次1.6萬美元的民事罰款。
造成這種結果,完全是由於華碩無線路由器長久以來忽視安全問題,讓成千上萬消費者的家庭和公司網絡處於風險之中。
華碩路由器的重大安全隱患
華碩在網站上鼓吹自己的產品是安全而智能的路由器,但以下幾大缺陷有辱其安全和智能的標籤:
1. 默認用戶名&密碼:ADMIN
2014年,華碩產品默認密碼問題進入公眾視線,引起人們對這一嚴重安全問題的關注。華碩售出的路由器將用戶名和密碼域都預設成了默認值。
這種猜都能猜出來的憑證,讓沒什麼高深技巧的腳本小子都能非法訪問路由器,從而黑進受害者的網絡。2014年,很多華碩路由器都遭到了這種形式的攻擊。另外,華碩甚至沒有提醒客戶修改用戶名和密碼來保障網絡的安全性及隱私性。
2. 路由器管理面板超好黑
調查過程中,FTC發現:幾乎所有華碩採取的安全措施都被繞過了。
其中一個常見安全漏洞甚至能讓黑客獲得管理面板控制權限,可以通過這一網頁接口關閉掉所有的安全設置。
3. 華碩AiCloud & AiDisk可被遠程入侵
華碩名為AiCloud和AiDisk的雲服務同樣存在嚴重漏洞,黑客能在世界任一角落遠程訪問你的硬碟,造成整個系統被破壞。
AiCloud能向用戶提供迷你雲服務,只要將USB閃盤插入路由器,就能瀏覽雲上的文件。
但由於傳輸過程中沒有對登錄細節進行加密,AICloud很容易遭到中間人攻擊。
早在2014年1月就有人報告過這個問題,但華碩並沒有在打上補丁後建議其用戶升級固件,顯示出明顯的過失。
4. 「更新檢查」就是個幌子
無論從哪方面講,經常性的更新升級通常都是漏洞殺手。但在華碩這裡,情況就不一樣了。
根據匯總的報告,FTC發現,「檢查更新」的按鈕就是個幌子,根本沒有嵌入任何特別的功能。管理員根本沒法將最新的補丁導入到更新資料庫,用戶按下按鈕搜索更新將毫無結果。
簡而言之,黑客們可以堂而皇之地玩弄任何華碩路由器的安全特性,為登入華碩路由器那一團糟的管理策略留下一道任意門。
FTC不僅對華碩的虛假安全聲明不滿,對該公司的響應時間也不甚滿意。總之,所有這些不滿都足以斷定華碩在安全措施上的懶散鬆懈。
物聯網設備危機
這種虛幻的安全若發生在物聯網環境,情況甚至會更加嚴重。由於路由器是物聯網設備的網關,路由器若有漏洞,攻擊者便可以很容易地在這些設備上執行自定義的指令。
物聯網正在經歷跨越式發展,無數消費者將智能設備接入家庭網絡。路由器在保護這些家庭網絡的安全上扮演著舉足輕重的角色,因此,像華碩這樣的公司實施恰當的安全措施保護消費者及其個人信息就變得尤為關鍵。
華碩明顯要遵循正確的做法,一有更新就通知用戶,並提供合適的說明引導用戶進行更新。而曝光華碩這些愚蠢的安全漏洞,只是給其他路由器廠商提個醒,安全這根弦必須上緊。
華碩產品的漏洞進入到聚光燈下是在2014年,但僅僅一個月之後,D-Link、Micronet、Tenda、TP-Link和其他廠商生產的30萬台家用和迷你路由器就被人用同樣的方法攻擊了。
原文網址:https://read01.com/yPxa3O.html
