华硕遭遇联邦贸易委员会长达20年的路由器安全审查
FTC正在发送一个信号,表明它正在认真考虑家庭路由器安全问题。
总部位于台湾的电脑制造商华硕(AsusTek)已同意接受未来20年的审计,以了结美国联邦贸易委员会(Federal Trade Commission)的指控,称其“未能采取合理的安全措施,给消费者带来了重大伤害”。
由独立的第三方进行的安全审计只是ASUS必须接受的几项措施之一,因为它歪曲了其路由器和云服务AiCloud和AiDisk的安全性。
如果最近关于Windows 10的Wi-Fi感知功能的争议让你担心无线安全,那就好了。在这篇文章中,我解释了为什么无线安全和技术一样具有社会性,并提出了四种让你的无线网络更安全的方法。
美国联邦贸易委员会(FTC)周二宣布和解协议,向业界发出信号,表明它正在认真对待家庭路由器安全问题,尤其是考虑到这些硬件是通往越来越多联网设备的门户。
美国联邦贸易委员会消费者保护局局长杰西卡·里奇说:“物联网正以突飞猛进的速度增长,数百万消费者将智能设备连接到自己的家庭网络。”
路由器在保障这些家庭网络的安全方面发挥着关键作用,因此,像ASUS这样的公司必须建立合理的安全机制,以保护消费者和他们的个人信息。“
监管机构指出,华硕声称其路由器具有安全功能,可以保护电脑和本地网络免受黑客和病毒攻击,但未能及时发布补丁,也没有将这些缺陷带来的风险通知客户。
例如,FTC指责ASUS允许用户为AiDisk FTP服务器保留用户名和密码的默认日志凭据,以及未能告知使用者避免无意泄露敏感个人信息的方法。
2014年,黑客能够识别出数以千计的易受攻击的ASUS路由器,并利用AiCloud和AiDisk的缺陷,访问了附加的USB存储设备,以保存一个文本文件,其中警告说:“你的华硕路由器和你的文档可以被世界上任何有互联网连接的人访问。”
黑客随后公布了12,937个易受攻击的ASUS路由器的IP地址,以及3,131个AiCloud帐户的登录凭据。
此外,根据投诉,ASUS软件更新工具错误地告诉消费者他们的路由器正在使用最新的软件,而实际上该软件已经被包含关键安全更新的更新版本所取代。
ASUS已同意通过一个涵盖产品开发和管理的全面安全计划来解决这些安全缺陷,该计划还包括指定员工对IT负责,并从黑客中识别消费者的风险。
华硕需要在订单生效后的头三个月内进行一次第三方安全专业审计,此后在未来20年每两年进行一次审计。
它也不能歪曲路由器的安全性,或者设备的软件更新的程度。
在与ASUS达成和解之前,FTC今年早些时候与甲骨文(Oracle)达成了类似协议,指控甲骨文在更新后告知Java用户,他们的系统是安全的,但实际上,该系统仍在用户的机器上留下了较旧、不安全的