臺灣品牌業者華碩(Asus)公司在美國銷售的路由器產品,因為具有嚴重的安全性漏洞,並且造成使用者的敏感資訊外洩,美國聯邦貿易委員會(FTC)對華碩公司提起法律訴訟。日前,雙方達成和解協議,在未來20年,只要是華碩公司上市販售的路由器和相關的硬體裝置,都必須每2年接受一次由獨立第三方的產品安全性的稽核檢查。
在相關的和解條件中,美國聯邦貿易委員會還要求華碩公司也必須和既有的使用者聯繫,除了要告知使用者硬體韌體的升級和更新外,相關軟體的修補程式也必須在30天內,告知使用者並立即更新,否則,未來華碩公司每發生一次違反和解條件的資安事件,該公司每一起事件都將被罰款1萬6千美元。
除了華碩公司因為被美國聯邦貿易委員會起訴後,近期接受和解,以每2年都接受一次由第三方稽核單位針對產品做獨立稽核,且這樣的獨立稽核也將持續20年的條件,才取得和解,但之前曾經爆發家用路由器因為安全性漏洞,被駭客利用或造成客戶敏感資訊外洩的路由器業者,還包括:D-Link(友訊科技)、Micronet(光譜電子)、Tenda(騰達科技)和TP-Link等業者,都曾傳出路由器出現安全隱私的漏洞。
不管是智慧城市、智慧家庭甚至是這兩年喊的震天價響的物聯網(IoT),各式各樣的路由器都是整個架構的核心,都必須要透過路由器對外連上網路,才能夠讓原本被孤立的產品或裝置,有對外聯繫的通道,真正做到網網相連。但是就如同美國聯邦貿易委員會所言,路由器在物聯網的世界中扮演重要的關鍵角色,使用者不僅期待包括華碩公司在內的業者,可以確保路由器傳輸資料的安全性,也必須阻止更多未經授權的連線,而不是置使用者安全性於度外,甚至以不具有實質更新功能的按鍵,來模糊使用者對於路由器的安全性認定。
華碩路由器包括雲端服務,都潛藏各種資安風險
華碩路由器的安全性問題主要可以分成幾個部分,根據美國聯邦貿易委員會調查發現,華碩公司雖然宣稱路由器產品可以保護電腦不會遭受到未經授權的連線訪問,但事實上,該路由器卻充斥許多安全漏洞,舉例而言,華碩路由器預設的帳號和密碼都是非常容易猜到的admin,加上沒有要求使用者更改預設密碼,也使得華碩路由器一旦連網就門戶洞開。再者,駭客也可以利用一些常見的網路漏洞,入侵華碩Web介面的控制平臺獲得控制權,駭客就可以做到遠端關閉相關的安全措施。
而華碩為了便利使用者,也推出AiCloud和AiDisk的雲端服務。AiCloud是一種雲端儲存服務,使用者可以將USB隨身碟插到路由器上的USB接口,就可以瀏覽儲存在雲端上的所有檔案,只不過,美國聯邦貿易委員會在調查中卻發現,如果駭客掌握一個特定的IP位址時,也可以繞過AiCloud的安全授權機制,在這個瀏覽和資料傳輸的過程中,並沒有任何加密措施,所有的登錄資訊都是明碼傳輸,使得AiCloud很容易遭受到中間人攻擊。
這個漏洞在2014年1月的時候,就已經有資安專家回報這樣的漏洞訊息,只可惜,華碩公司面對這樣的漏洞通報時,心態上仍不夠正面來面對產品有資安威脅的問題,也因為態度不夠積極,因此,華碩公司在完成漏洞修補後,並沒有建議使用者應該要立即修補產品的漏洞、避免受害。這也是美國聯邦貿易委員會認定華碩公司沒有落實資安的原因之一。
此外,AiDisk則是另外一種雲端儲存服務,傳輸用戶資料時,都沒有採用任何加密措施,當使用者可以透過FTP連線到路由器上的USB隨身碟時,所有連上這個隨身碟的使用者,瀏覽的權限都不設限,意味著,路由器預設將使用者的私人USB隨身碟,只要有人知道路由器的IP位址,就形同將使用者隱私開放給網路上的任何人。甚至於,華碩公司只要求使用者設立安全性相對薄弱的帳號及密碼(預設帳號密碼為Family),所有資料傳輸也都是明碼傳輸。
最為人詬病的一點在於,有資安專家在2013年7月便告知華碩公司,有超過25,000個AiDisk的雲端儲存裝置,可以在網路上被找到,但直到2014年2月爆發大規模的使用者資料外洩時,華碩公司都沒有告知使用者,應該要正視這樣的資安問題。
更有趣的點在於,華碩公司在路由器上有一個檢查更新的按鍵,希望使用者可以定期做漏洞修補,將軟硬體的安全性升級到最新版。只不過,美國聯邦貿易委員會卻發現,華碩公司的更新按鍵根本沒有嵌入任何的功能,按下更新按鍵沒有任何作用,使用者也無法將最新更新的漏洞修補程式更新到資料庫。這樣的更新按鍵根本只是一個欺騙使用者的幌子,沒有任何實質的作用。
從美國聯邦貿易委員會提出的相關證據都可以發現,華碩公司對於路由器的產品安全性上,抱持著相當馬虎及敷衍的態度,不僅沒有正式資安人員通報的漏洞,也沒有告知使用者,必須要立即更新軟體以確保使用者的安全性。
這樣的情況一直維持到2014年2月時,因為有一個駭客組織使用免費工具掃描華碩路由器的IP位址時,就發現12,937名使用者的敏感資料,以及3,131個AiCloud的帳號資訊在網路上公布,整個事件才真正爆發,引發美國政府與使用者重視。而華碩公司這種遮遮掩掩的態度,也是美國聯邦貿易委員會對華碩公司提出法律訴訟的重要關鍵之一。
使用者也必須了解如何安全使用連網產品
這起華碩公司路由器安全事件從2014年2月爆發以來,直到今年2月和美國聯邦貿易委員會和解,也讓更多路由器業者和使用者正視產品安全性的問題,美國聯邦貿易委員會也針對既有的華碩路由器使用者提出安全措施的建議,希望透過這樣的建議方式,可以做到提升使用者更加重視路由器的安全性。
首先,一定要更改路由器預設的帳號及密碼,不論是否是華碩路由器產品,這都是使用者應該做的第一個動作。再者,對於使用者的權限設定,絕對不能設定為「無限」的使用者權限,除了管理員權限外,一般的使用者建議權限都設為「有限」以避免使用者權限過大,導致不必要的資安風險。第三,華碩路由器提供獨特的雲端儲存功能,使用者也必須留意,一旦有任何資料共享時,都必須謹慎確認可以資料共享的使用者,究竟具有多少權限,避免無限制的共享功能,往往是相對安全的。最後,使用者必須定期更新產品的安全性,註冊產品提供的安全更新窗口,定期更新產品軟體和硬體漏洞,而華碩路由器上原本不具備更新檢查功能的按鍵,華碩公司也必須立即透過軟體更新功能,讓使用者可以確認該產品,是否已經更新到最新版的修補程式,以確保產品安全性。
也因為有越來越多的裝置透過路由器對外連接,在每一個產品都有自己的IP位址,都具備連網功能的情況下,美國聯邦貿易委員會也建議,如果物聯網已經是該公司重要的核心服務,要確保安全的連網就顯得很重要,該委員會則提出6點建議,希望有助於物聯網企業可以做到安全連網。
第一點,就是要做到安全啟動(Start with security),也就是從產品的設計開始,就必須將產品相關的安全議題納入考量,而不是像華碩路由器一樣,等到發生嚴重的資安問題後,才開始設法善後,這時,往往都已經太遲了。
第二點,透過使用者的眼睛設計產品。對於一些家用連網產品的設計者而言,顏色和樣式都是使用者的考量點,但對於安全性的在意,往往只希望功能操作不要太複雜,若是從使用者的角度設計產品,要做到讓開發者也能夠貼近使用者的需求,首先,就是要讓產品所有的接口與功能,介面簡單、清楚、易懂,只要能夠讓使用者可以看懂,就是一種貼近使用者的設計思維。
第三點,從操作介面上,就必須做到一眼就可以讓使用者知道,哪一個是比較安全的選項與配置,當開發者已經將所有不安全、開放的預設設定改掉,使用者就不用花更多心血是了解什麼才是安全性的操作。
第四點,關注市面上各種安全警告,美國聯邦貿易委員會便指出,很多業者並沒有一個適當的管道,可以蒐集並掌握到與產品安全漏洞相關的資訊,一旦有看到有相關的安全議題出現時,業者應該要主動調查,確認是否有類似的安全隱憂,一旦確認有安全問題,就應該立即聯絡使用者,提供後續的安全更新措施。
第五點,隨時讓使用者掌握漏洞修補的進度與狀況,這是關鍵的第一步,畢竟,所有的修補程式要發揮效用,都必須在使用者下載、安裝之後才會有效,而有遠見的業者就會設計一個關於漏洞通報的緊急應變計畫,讓漏洞修補的提醒可以更有效率。
最後一點,可以借鏡美國聯邦貿易委員會公布的案件,從中學得經驗與教訓,都有助於提升產品的安全性。
對於物聯網企業而言,從安全的角度和從使用者的角度來設計產品,往往是比較花成本的的設計思維,卻是一種面對複雜網路威脅時,更有效的預防措施。而不僅製造產品的業者要有這樣的思維,使用者也必須開始從這樣的角度,更有智慧的採購更安全的好產品。
本周(2/21~2/27)重要資安事件回顧:
※報導:Alphabet、臉書及微軟準備提交意見書以聲援蘋果
※加密通訊軟體Telegram用戶達一億,每天傳送150億則訊息
※華碩路由器、個人雲服務因安全缺陷遭美國FTC起訴,願受20年稽核換取和解
※線上付款忘了密碼也沒關係,萬事達卡將支援指紋、自拍驗證身份
※研究:2015年資料外洩攻擊,政府、醫療取代零售業成最大受害者
※研究:百度SDK及瀏覽器恐導致用戶個資外洩,上千款App受累
※Bill Gates說話了:蘋果應該協助FBI解鎖iPhone
※蘋果公布Q&A回應iPhone解鎖爭議,籲成立專家委員會討論政府權力與民眾隱私
熱門新聞
2024-09-29
2024-10-01
2024-10-01
2024-10-03
2024-10-02
2024-10-01
2024-10-01