image

Asus treft schikking wegens onveilig routers en clouddiensten

woensdag 24 februari 2016, 09:52 door Redactie, 11 reacties

De Taiwanese elektronicafabrikant Asus heeft een schikking met de Amerikaanse toezichthouder Federal Trade Commission (FTC) getroffen wegens ernstige kwetsbaarheden in routers waardoor de thuisnetwerken van honderdduizenden consumenten risico lopen.

Zo waren er kwetsbaarheden in het beheerderspaneel aanwezig waardoor aanvallers de beveiligingsinstellingen van de router konden aanpassen zonder dat consumenten hiervan op de hoogte waren. Vorig jaar april ontdekte een onderzoeker dat criminelen van deze kwetsbaarheid gebruikmaakten om verkeer van consumenten om te leiden. Door verschillende ontwerpfouten werden de kwetsbaarheden daarnaast vergroot, waaronder het feit dat Asus het standaardwachtwoord 'admin' gebruikte en consumenten toestond dit wachtwoord te blijven gebruiken.

Daarnaast zijn de routers van verschillende onveilige clouddiensten voorzien waardoor kwaadwillenden toegang tot gevoelige informatie kunnen krijgen, zoals belastingdocumenten. Het gaat om AiCloud en AiDisk, waardoor mensen usb-harde schijven aan de router kunnen aansluiten om hun eigen "cloudopslag" te maken. Volgens de FTC had Asus onvoldoende maatregelen genomen om de software op de routers te beveiligen.

Via een kwetsbaarheid in AiCloud konden aanvallers het inlogvenster omzeilen en volledige toegang tot de aangesloten harde schijf krijgen. Het aanroepen van een specifieke url was hiervoor voldoende. Ook maakte AiDisk geen gebruik van encryptie bij het uitwisselen van bestanden. In 2014 maakten criminelen gebruik van deze kwetsbaarheden om toegang tot de harde schijven van zo'n 13.000 consumenten te krijgen.

De FTC stelt dat Asus de kwetsbaarheden niet tijdig heeft opgelost en consumenten niet over de risico's van kwetsbare routers heeft ingelicht. Zo liet de updatetool van de router weten dat het apparaat up-to-date was, ook al waren er beveiligingsupdates beschikbaar.

Schikking

Als onderdeel van de schikking die met de FTC is gesloten zal Asus een uitgebreid beveiligingsprogramma opstellen en uitvoeren en dit programma de komende 20 jaar door onafhankelijke audits laten controleren. Tevens zal Asus consumenten moeten waarschuwen voor de beschikbaarheid van updates, bijvoorbeeld via e-mail of sms. De elektronicafabrikant mag daarnaast consumenten niet meer misleiden over de veiligheid van de producten, waaronder of een apparaat up-to-date software gebruikt. De FTC heeft voor eigenaren van Asus-routers verschillende beveiligingstips online gezet.

Reacties (11)
24-02-2016, 09:57 door Anoniem
Ik denk dat alle andere router fabrikanten zich schuldig maken aan de zelfde feiten. Gaan deze ook een schikkingsvoorstel krijgen?
24-02-2016, 10:58 door Anoniem
Ik heb de ASUS AC68U gekocht, drie maanden geleden. Zelf heb ik er een Merlin firmware geïnstalleerd met extra mogelijkheden etc.

AICloud en AIDesk staan standaard uitgeschakeld.
2.4 GHz WiFi als 5.0 GHz WiFi zijn onzichtbaar.

Is dit veilig genoeg? PASSWD is 16+ karakters zoals ^#^$GEedeewbsew#7344
Houdoe.
24-02-2016, 11:01 door Anoniem
vreemd dat je nooit iets hoorde over Microsoft met hun brakke windows, cisco met hun brakke IOS, apple met hun brakke IOS, maar alle russische, chineese, en taiwanese fabrikanten worden allemaal aangeklaagd door de FCC, FTC of een stapel consumenten die lijkt wel een stapel geld is gegeven om een buitenlandse fabrikant te "patriotiseren...

Vies protectionisme onder het mom van veiligheid...

Als die Amerikanen nou ballen hadden...
24-02-2016, 11:25 door Anoniem
Door Anoniem: vreemd dat je nooit iets hoorde over Microsoft met hun brakke windows, cisco met hun brakke IOS, apple met hun brakke IOS, maar alle russische, chineese, en taiwanese fabrikanten worden allemaal aangeklaagd door de FCC, FTC of een stapel consumenten die lijkt wel een stapel geld is gegeven om een buitenlandse fabrikant te "patriotiseren...

Vies protectionisme onder het mom van veiligheid...

Als die Amerikanen nou ballen hadden...

Graag voortaan iets constructiever. Ik zelf heb een voorliefde voor Linux en opensource. Maar zomaar iets roepen over Microsoft zonder het te onderbouwen is lame.
24-02-2016, 11:25 door Anoniem
Door Anoniem: vreemd dat je nooit iets hoorde over Microsoft met hun brakke windows, cisco met hun brakke IOS, apple met hun brakke IOS, maar alle russische, chineese, en taiwanese fabrikanten worden allemaal aangeklaagd door de FCC, FTC of een stapel consumenten die lijkt wel een stapel geld is gegeven om een buitenlandse fabrikant te "patriotiseren...

Vies protectionisme onder het mom van veiligheid...

Als die Amerikanen nou ballen hadden...
Dat mag zijn, maar volgens het artikel draait het hier om:
De FTC stelt dat Asus de kwetsbaarheden niet tijdig heeft opgelost en consumenten niet over de risico's van kwetsbare routers heeft ingelicht. Zo liet de updatetool van de router weten dat het apparaat up-to-date was, ook al waren er beveiligingsupdates beschikbaar.
Dat is bij de zaken die jij noemt (de zaken die ik ken, tenminste) wel anders,
24-02-2016, 11:44 door Anoniem
Door Anoniem:
2.4 GHz WiFi als 5.0 GHz WiFi zijn onzichtbaar.
Een 'onzichtbare SSID' maakt dat mobiele clients telkens dienen te proberen of ze in de buurt zijn en 'verraden' wanneer ze aan staan daarmee overal het 'SSID' en hun eigen aanwezigheid.
https://sites.google.com/site/computertip/draadlozeveiligheid#TOC-Fabel-1:-de-SSID-netwerknaam-verbergen-niet-uitzenden-
24-02-2016, 14:17 door Anoniem
Ai, ai, ai

AiCloud, AiDisk ??
https://dlcdnimgs.asus.com/20160129_cosmo/cosmo/websites/global/products/HYS59NKaVb4GaqRR/img/index/00/fg.png???

Firma ACopy en Afake, te druk met anderen oppervlakkig nadoen in plaats van werkelijke kwaliteit na te streven.
De controle daarop in combinatie met de onterechte Aprijs kan je zelf in de gaten houden.
Asus? Ken een veel beter woord met één letter verschil.
Laat ze haar Ai-producten daar maar lanceren.
24-02-2016, 15:05 door Anoniem
Grappig dat vooral buitenlandse bedrijven door het FTC worden aangepakt. Cisco overkomt zoiets niet.
24-02-2016, 15:42 door Anoniem
Waar kan ik mijn geld terug vragen?
24-02-2016, 16:30 door Anoniem
Door Anoniem: Waar kan ik mijn geld terug vragen?

In Nederland gaat zoiets altijd via je leverancier, die heeft de productaansprakelijkheid.
25-02-2016, 21:11 door waaromdan
Door Anoniem:
Door Anoniem: Waar kan ik mijn geld terug vragen?

In Nederland gaat zoiets altijd via je leverancier, die heeft de productaansprakelijkheid.

Onveilig product:
Bij schade lager dan het drempelbedrag van 500 euro, kan je de verkoper van het product aansprakelijk stellen.
Bij schade hoger dan het drempelbedrag van 500 euro, kan je de producent van het product aansprakelijk stellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.