Berta Sándor
20 éven át ellenőrzik az Asus routereinek firmwarejeit
A gyártó köteles két évtizeden át független kódvizsgálókat felkérni.
Az Asus akkor hibázott, amikor 2013-ban és 2014-ben nem foglalkozott kellő mértékben a biztonsággal. Hiányzó firmware-frissítések, nem biztonságos szabványos beállítások, rossz jelszavak jellemezték a társaság routereit és a helyzet annyira súlyos volt, hogy végül 2014-ben az Amerikai Egyesült Államok Szövetségi Kereskedelmi Bizottsága (FTC) kénytelen volt vizsgálatot indítani az ügyben. Az eljárás most zárult le megegyezéssel.
Mint kiderült, az első biztonsági hibák a routerekben 2013-ban bukkantak fel, érintették a webes kezelőfelületet, valamint az Aicloud és az Aidisk szolgáltatásokat. Ez utóbbiak személyes adatokat küldtek titkosítatlan FTP-kapcsolatokon keresztül a világhálón át. A következmény: hackerek legalább 12 900 eszközt törtek fel. Amikor az Asus 2014 júniusában tudomást szerzett a problémákról, akkor ugyan egy hónappal később elérhetővé tett egy javítást, de az ügyfeleket több mint 8 hónapon át nem tájékoztatta arról, hogy frissíteniük kellene a routereik szoftverét.
Az érintett routereknek volt ugyan egy firmware-frissítési interfészük, de az Asus rosszul konfigurálta a frissítési szerverét, így a keresések nem értek célba. A felhasználók eközben biztonságban érezték magukat. Az eljárás során azt is a társaság szemére vetették, hogy biztonságosként hirdette a termékeit, de közben számos alapvető biztonsági szabványt nem tartott be.
Az Asus a nagyobb büntetések elkerülése miatt beleegyezett abba, hogy a következő 20 esztendő során minden második évben a routereinek firmwarejeit független kódvizsgálatnak vesse alá, hogy felfedezhetők legyenek az esetleges biztonsági hibák. Emellett a vállalatnak meg kellett ígérnie, hogy a felhasználókat tájékoztatja az aktuális biztonsági frissítésekről és számukra normális útmutatót ad a frissítések telepítésével kapcsolatban. Amennyiben a cég félrevezető információkat közöl az eszközei biztonságáról, akkor minden egyes eszköz esetében 16 000 dollárt kell fizetnie.
Az ASUS reagálása szerint a hibákat és biztonsági réseket 2014 óta szoftverfrissítések sorozatos kiadásával javította ki, így a jelenleg kereskedelmi forgalomban lévő routerik mentesek ezektől a sérülékenységektől. Emellett a múlt évben bemutatásra került az AiProtection funkció, ami extra biztonsági réteget jelent egy kiemelt iparági partner megoldásainak beépítésével. Ha valaki esetleg az elmúlt másfél évben nem frissítette volna ASUS routerje firmware-jét, akkor a vállalat honlapjáról, vagy az eszköz admin felületén keresztül megteheti ezt.
Az Asus akkor hibázott, amikor 2013-ban és 2014-ben nem foglalkozott kellő mértékben a biztonsággal. Hiányzó firmware-frissítések, nem biztonságos szabványos beállítások, rossz jelszavak jellemezték a társaság routereit és a helyzet annyira súlyos volt, hogy végül 2014-ben az Amerikai Egyesült Államok Szövetségi Kereskedelmi Bizottsága (FTC) kénytelen volt vizsgálatot indítani az ügyben. Az eljárás most zárult le megegyezéssel.
Mint kiderült, az első biztonsági hibák a routerekben 2013-ban bukkantak fel, érintették a webes kezelőfelületet, valamint az Aicloud és az Aidisk szolgáltatásokat. Ez utóbbiak személyes adatokat küldtek titkosítatlan FTP-kapcsolatokon keresztül a világhálón át. A következmény: hackerek legalább 12 900 eszközt törtek fel. Amikor az Asus 2014 júniusában tudomást szerzett a problémákról, akkor ugyan egy hónappal később elérhetővé tett egy javítást, de az ügyfeleket több mint 8 hónapon át nem tájékoztatta arról, hogy frissíteniük kellene a routereik szoftverét.
Az érintett routereknek volt ugyan egy firmware-frissítési interfészük, de az Asus rosszul konfigurálta a frissítési szerverét, így a keresések nem értek célba. A felhasználók eközben biztonságban érezték magukat. Az eljárás során azt is a társaság szemére vetették, hogy biztonságosként hirdette a termékeit, de közben számos alapvető biztonsági szabványt nem tartott be.
Az Asus a nagyobb büntetések elkerülése miatt beleegyezett abba, hogy a következő 20 esztendő során minden második évben a routereinek firmwarejeit független kódvizsgálatnak vesse alá, hogy felfedezhetők legyenek az esetleges biztonsági hibák. Emellett a vállalatnak meg kellett ígérnie, hogy a felhasználókat tájékoztatja az aktuális biztonsági frissítésekről és számukra normális útmutatót ad a frissítések telepítésével kapcsolatban. Amennyiben a cég félrevezető információkat közöl az eszközei biztonságáról, akkor minden egyes eszköz esetében 16 000 dollárt kell fizetnie.
Az ASUS reagálása szerint a hibákat és biztonsági réseket 2014 óta szoftverfrissítések sorozatos kiadásával javította ki, így a jelenleg kereskedelmi forgalomban lévő routerik mentesek ezektől a sérülékenységektől. Emellett a múlt évben bemutatásra került az AiProtection funkció, ami extra biztonsági réteget jelent egy kiemelt iparági partner megoldásainak beépítésével. Ha valaki esetleg az elmúlt másfél évben nem frissítette volna ASUS routerje firmware-jét, akkor a vállalat honlapjáról, vagy az eszköz admin felületén keresztül megteheti ezt.