華碩路由器、個人雲服務因安全缺陷遭美國FTC起訴,願受20年稽核換取和解

華碩路由器、個人雲服務因安全缺陷遭美國FTC起訴,願受20年稽核換取和解

FTC指出華碩在路由器上推出的個人雲端服務AiCloud與AiDisk,宣稱能以安全方式存取資料,但實際上卻存在許多安全漏洞,未適時處理相關安全弱點並告知用戶產品潛藏的安全風險,是否提供安全更新。華碩同意以改善產品及未來20年接受稽核為代價與FTC達成和解。

華碩因路由器產品與個人雲服務設計的安全瑕疵問題,遭美國聯邦貿易委員會(FTC)以恐危害用戶隱私與資安為由起訴,華碩同意以改善產品及未來20年接受獨立稽核為代價,以換取與FTC的和解。

FTC表示,華碩在行銷路由器時,宣稱產品擁有許多安全功能,甚至能保護電腦不受任何未經授權存取與病毒攻擊、保護本地網路不受駭客攻擊等,但FTC則發現華碩產品並未如所宣稱般的安全,因而決定對華碩採取法律行動。

FTC的起訴報告指出,事實上,駭客能夠利用該路由器中的軟體漏洞,在用戶不知情的狀況下,更改路由器設定,在2015年4月並的確發生過攻擊事件。此外,華碩在路由器上推出的個人雲端服務AiCloud與AiDisk,在宣傳時強調是安全存取珍貴資料的服務,但實際上卻存在許多嚴重的安全漏洞。

舉例來說,駭客能夠直接透過特定的網址、跳過AiCloud的密碼認證,直接透過該路由器連往相連的儲存裝置;此外,AiDisk在傳輸用戶資料時並未加密,而預設的隱私設定竟然是完全開放,亦即把用戶的私人儲存裝置開放給網際網路上的任何人。

2014年二月時,便有駭客利用現成的工具找出存在漏洞的華碩路由器,並利用上述漏洞非法存取超過1萬2900個與路由器相連的儲存裝置。

《詳細內文請見iThome電腦報(www.ithome.com.tw)》