二月底在美國參加廠商的研討會時,有一天,我突然看到有媒體報導華碩路由器與個人雲服務遭美國聯邦貿易委員會(FTC)起訴、未來20年需持續接受稽核的消息,大為震驚。

在我過去的印象中,幾年前他們曾與趨勢科技合作,於是在好幾款802.11ac Wi-Fi網路設備,內建了網路防護功能AiProtection,例如RT-AC68U、RT-AC87U、RT-AC88U、RT-AC3200、RT-AC5300等產品。該技術裡面就包含了弱點防護,可用深度封包檢測(Deep Packet Inspection,DPI)的方式,防禦來自網際網路的漏洞濫用攻擊,AiProtection也可以掃描路由器本身是否具有漏洞。

顯然他們是看重網路安全防護的需求,但為何會發生這樣的事情?

而且,令人意外的是,當時除了我們與1家科技網站之外,臺灣其他媒體關注這項消息的並不多。中央通訊社那時曾經發了一篇〈路由器案在美和解 華碩:產品安全無虞〉,裡面提到:「事件發生後已提供一系列軟體更新,目前所有路由器產品安全性無虞。」然而,這件事就此落幕?華碩產品的商譽挽回了嗎?

從該公司的網站上,仍未看到後續有相關的公開說明,也許之後我們可以請他們談談因應的策略。

也因為這件事,我在3月初舉行的iThome資安大會上遇到一些網路設備廠商,也藉機了解他們的看法。

有人表示,由於他們所屬公司本身也開發資安產品,因此對於系統安全性弱點的修補與處理,從很久之前,就開始採取相當積極的態度——基本上,會在一週內完成相關作業,並在官方網站的產品支援區張貼相關公告。他們認為,持續堅持做好相關工作,雖然很辛苦,但現在發生了上述事件之後,更證明了過去的努力是正確而明智的抉擇。

強化安全防護是必須持續進行的工作,一定會佔用不少人力和時間,不過,由於這類型網路設備的價格不高,市場競爭又激烈,所以,他們也理解到身為廠商會有成本上的考量,所以,會出現無法適時處理安全漏洞的情況,並不令人意外,而導致現在這樣的局面,驚動美國政府介入,除了遭到當地法律起訴,也讓全世界都知道你所生產的商品有安全性疑慮。

但華碩絕不會是市場上唯一被這麼對待的網路設備廠商,有人認為,這是一種殺雞儆猴的動作,還有很多廠牌的產品,可能面臨同樣的危機。

就像去年,我們曾發出一篇報導〈攻擊套件鎖定多家廠牌路由器漏洞,偷改DNS設定,導向偽造網站再竊取機密資料〉,裡面提到受到CVE-2015-1187、CVE-2008-1244與CVE-2013-2645漏洞影響的產品,有華碩、Belkin、D-Link、Linksys、Netgear與合勤等品牌的路由器,超過40款。前年也有一篇〈家用路由器常用的嵌入式軟體傳漏洞,1200萬台裝置有被駭危險〉,提到CVE-2014-9222漏洞,影響了D-Link、Edimax、華為、TP-Link、中興(ZTE)、合勤等廠牌,至少波及200款機種。

而相關的家用路由器漏洞事件,仍有可能再度爆發。在網路上搜尋「home router security vulnerabilities」,或是「SOHO router security vulnerabilities」,就可以知道這些事件仍是相當受到關切的議題。

畢竟隨著物聯網的普及,從家用網路連接網際網路的智慧型裝置越來越多,而這些路由器設備就是它們進出網路的重大關卡,若被攻擊、滲透,甚至被綁架,後果不堪設想,各種新興網路應用的發展,將蒙上一層揮之不去的安全威脅陰影。

由此可知,美國聯邦交易委員會對此下重手是其來有自,然而,為何不先針對該國的網路設備商,而特別挑上華碩,仍是有爭議,不過,漏洞安全的問題對臺灣網路設備商來說,已經是無法避免的挑戰和考驗,因為這些問題可能衝擊到市場對於臺商品牌的信任度。既然華碩遭殃了,易地而處,臺灣其他廠牌的網路設備就能倖免嗎?政府是否該主動介入,監督廠商做好產品安全控管,同時,也應該為本土與全球的顧客權益把關。

 相關報導 

「從華碩路由器要被美國政府稽核20年,看如何確保物聯網安全?」

作者簡介


Advertisement

更多 iThome相關內容