c.m.g
24-02-2016, 11:57
mercoledì 24 febbraio 2016
La Federal Trade Commission statunitense ha ritenuto che l'azienda, per rimediare al ventaglio di vulnerabilità e di rischi a cui ha sottoposto gli utenti negli ultimi anni, dovrà irrigidire i controlli e garantire più trasparenza
Roma - Asus dovrà sottoporre i propri router c controlli di sicurezza indipendenti per i prossimi 20 anni: la Federal Trade Commission ha stabilito (https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put) che sia questa la misura opportuna per rimediare alle vulnerabilità a cui l'azienda ha esposto i consumatori che confidavano nei suoi prodotti, pubblicizzati come in grado di "proteggere i computer da accessi non autorizzati, hacking e virus".
Il caso aperto dalla FTC muove da una pericolosa vulerabilità (http://punto-informatico.it/3995410/PI/News/linksys-asus-alle-prese-router-vulnerabili.aspx) venuta alla luce nel febbraio 2014, che aveva permesso ai cracker di guadagnare l'accesso a dispositivi di storage connessi al router a mezzo USB, gestibili online attraverso i servizi AiCloud e AiDisk. 12.937 utenti statunitensi erano stati danneggiati dalla falla, che richiedeva ai cracker di conoscere il solo indirizzo IP della macchina.
Il novero (https://www.ftc.gov/system/files/documents/cases/160222asuscmpt.pdf) dei problemi di cui nel corso degli anni hanno sofferto i router Asus, e i loro utenti, è nutrito: dalle impostazioni per la creazione di server FTP che di default prevedevano accesso illimitato ai file attraverso AiDisk e ne permettevano altresì l'indicizzazione dei file da parte dei motori di ricerca, alle password di default decisamente intuibili, passando per i bug nel pannello di amministrazione che agevolavano attacchi di tipo XSS (https://it.wikipedia.org/wiki/Cross-site_scripting) e cross-site request forgery (https://it.wikipedia.org/wiki/Cross-site_request_forgery) con cui malintenzionati avrebbero potuto agire sulle impostazioni. Asus, nonostante sia stata allertata da consumatori e ricercatori di sicurezza, in numerose occasioni avrebbe agito con lentezza, e senza avvertire i propri utenti a proposito delle vulnerabilità. Allo stesso modo, ha rilevato FTC, l'azienda ha spesso mancato di invitare i consumatori all'aggiornamento del firmware, qualora avesse posto rimedio ai bug: in alcuni casi, addirittura, il software che gestisce gli update mostrava come aggiornati dei prodotti ancora esposti a vulnerabilità ormai risolte.
"La Internet delle Cose sta crescendo in maniera inaspettatamente rapida, con milioni di consumatori che connettono i propri dispositivi smart alla loro rete domestica - ha osservato Jessica Rich, a capo del Bureau of Consumer Protection della FTC - I router giocano un ruolo chiave per la sicurezza di queste reti domestiche e per questo motivo è determinante che aziende come ASUS dispongano opportune misure di sicurezza per proteggere i consumatori e i loro dati personali". La Commissione statunitense ha dunque disposto (https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf) che Asus sottoponga i propri router a controlli di sicurezza indipendenti per le prossime due decadi, che consenta ai propri utenti di registrarsi a un servizio di notifica degli aggiornamenti in materia di sicurezza e che garantisca la massima trasparenza riguardo alle vulnerabilità e ai rischi. L'azienda è altresì diffidata dal pubblicizzare i propri prodotti come inattaccabili.
Gaia Bottà
Fonte: Punto Informatico (http://punto-informatico.it/4303579/PI/News/asus-20-anni-sicurezza-router-vulnerabili.aspx)
La Federal Trade Commission statunitense ha ritenuto che l'azienda, per rimediare al ventaglio di vulnerabilità e di rischi a cui ha sottoposto gli utenti negli ultimi anni, dovrà irrigidire i controlli e garantire più trasparenza
Roma - Asus dovrà sottoporre i propri router c controlli di sicurezza indipendenti per i prossimi 20 anni: la Federal Trade Commission ha stabilito (https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put) che sia questa la misura opportuna per rimediare alle vulnerabilità a cui l'azienda ha esposto i consumatori che confidavano nei suoi prodotti, pubblicizzati come in grado di "proteggere i computer da accessi non autorizzati, hacking e virus".
Il caso aperto dalla FTC muove da una pericolosa vulerabilità (http://punto-informatico.it/3995410/PI/News/linksys-asus-alle-prese-router-vulnerabili.aspx) venuta alla luce nel febbraio 2014, che aveva permesso ai cracker di guadagnare l'accesso a dispositivi di storage connessi al router a mezzo USB, gestibili online attraverso i servizi AiCloud e AiDisk. 12.937 utenti statunitensi erano stati danneggiati dalla falla, che richiedeva ai cracker di conoscere il solo indirizzo IP della macchina.
Il novero (https://www.ftc.gov/system/files/documents/cases/160222asuscmpt.pdf) dei problemi di cui nel corso degli anni hanno sofferto i router Asus, e i loro utenti, è nutrito: dalle impostazioni per la creazione di server FTP che di default prevedevano accesso illimitato ai file attraverso AiDisk e ne permettevano altresì l'indicizzazione dei file da parte dei motori di ricerca, alle password di default decisamente intuibili, passando per i bug nel pannello di amministrazione che agevolavano attacchi di tipo XSS (https://it.wikipedia.org/wiki/Cross-site_scripting) e cross-site request forgery (https://it.wikipedia.org/wiki/Cross-site_request_forgery) con cui malintenzionati avrebbero potuto agire sulle impostazioni. Asus, nonostante sia stata allertata da consumatori e ricercatori di sicurezza, in numerose occasioni avrebbe agito con lentezza, e senza avvertire i propri utenti a proposito delle vulnerabilità. Allo stesso modo, ha rilevato FTC, l'azienda ha spesso mancato di invitare i consumatori all'aggiornamento del firmware, qualora avesse posto rimedio ai bug: in alcuni casi, addirittura, il software che gestisce gli update mostrava come aggiornati dei prodotti ancora esposti a vulnerabilità ormai risolte.
"La Internet delle Cose sta crescendo in maniera inaspettatamente rapida, con milioni di consumatori che connettono i propri dispositivi smart alla loro rete domestica - ha osservato Jessica Rich, a capo del Bureau of Consumer Protection della FTC - I router giocano un ruolo chiave per la sicurezza di queste reti domestiche e per questo motivo è determinante che aziende come ASUS dispongano opportune misure di sicurezza per proteggere i consumatori e i loro dati personali". La Commissione statunitense ha dunque disposto (https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf) che Asus sottoponga i propri router a controlli di sicurezza indipendenti per le prossime due decadi, che consenta ai propri utenti di registrarsi a un servizio di notifica degli aggiornamenti in materia di sicurezza e che garantisca la massima trasparenza riguardo alle vulnerabilità e ai rischi. L'azienda è altresì diffidata dal pubblicizzare i propri prodotti come inattaccabili.
Gaia Bottà
Fonte: Punto Informatico (http://punto-informatico.it/4303579/PI/News/asus-20-anni-sicurezza-router-vulnerabili.aspx)