華碩AiCloud。

華碩因路由器產品與個人雲服務設計的安全瑕疵問題,遭美國聯邦貿易委員會(FTC)以恐危害用戶隱私與資安為由起訴,華碩同意以改善產品及未來20年接受獨立稽核為代價,以換取與FTC的和解
 
FTC表示,華碩在行銷路由器時,宣稱產品擁有許多安全功能,甚至能保護電腦不受任何未經授權存取與病毒攻擊、保護本地網路不受駭客攻擊等,但FTC則發現華碩產品並未如所宣稱般的安全,因而決定對華碩採取法律行動。
 
FTC的起訴報告指出,事實上,駭客能夠利用該路由器中的軟體漏洞,在用戶不知情的狀況下,更改路由器設定,在2015年4月並的確發生過攻擊事件。此外,華碩在路由器上推出的個人雲端服務AiCloud與AiDisk,在宣傳時強調是安全存取珍貴資料的服務,但實際上卻存在許多嚴重的安全漏洞。

舉例來說,駭客能夠直接透過特定的網址、跳過AiCloud的密碼認證,直接透過該路由器連往相連的儲存裝置;此外,AiDisk在傳輸用戶資料時並未加密,而預設的隱私設定竟然是完全開放,亦即把用戶的私人儲存裝置開放給網際網路上的任何人。
 
2014年二月時,便有駭客利用現成的工具找出存在漏洞的華碩路由器,並利用上述漏洞非法存取超過1萬2900個與路由器相連的儲存裝置。
 
FTC指控,華碩公司並未適時處理相關安全弱點,同時也未告知用戶有弱點產品可能帶來的安全風險,甚至華碩也未告知用戶產品有無提供安全更新,舉例來說,儘管產品提供了安全更新工具,但卻常常在明明有新的安全更新情況下,還告知用戶其產品已經安裝了最新版本的軟體。
 
FTC要求華碩必須建立完整的資安計畫,同時必須要清楚告知消費者安全更新與其他因應軟體安全漏洞的做法,同時也禁止華碩繼續誤導消費者關於該公司產品的安全水準,華碩並同意未來20年都將接受關於其資安計畫的獨立稽核。

 


Advertisement

更多 iThome相關內容