De Taiwanese elektronicafabrikant Asus heeft een schikking met de Amerikaanse toezichthouder Federal Trade Commission (FTC) getroffen wegens ernstige kwetsbaarheden in routers waardoor de thuisnetwerken van honderdduizenden consumenten risico lopen.

Zo waren er kwetsbaarheden in het beheerderspaneel aanwezig waardoor aanvallers de beveiligingsinstellingen van de router konden aanpassen zonder dat consumenten hiervan op de hoogte waren. Vorig jaar april ontdekte een onderzoeker dat criminelen van deze kwetsbaarheid gebruikmaakten om verkeer van consumenten om te leiden. Door verschillende ontwerpfouten werden de kwetsbaarheden daarnaast vergroot, waaronder het feit dat Asus het standaardwachtwoord 'admin' gebruikte en consumenten toestond dit wachtwoord te blijven gebruiken.

Daarnaast zijn de routers van verschillende onveilige clouddiensten voorzien waardoor kwaadwillenden toegang tot gevoelige informatie kunnen krijgen, zoals belastingdocumenten. Het gaat om AiCloud en AiDisk, waardoor mensen usb-harde schijven aan de router kunnen aansluiten om hun eigen "cloudopslag" te maken. Volgens de FTC had Asus onvoldoende maatregelen genomen om de software op de routers te beveiligen.

Via een kwetsbaarheid in AiCloud konden aanvallers het inlogvenster omzeilen en volledige toegang tot de aangesloten harde schijf krijgen. Het aanroepen van een specifieke url was hiervoor voldoende. Ook maakte AiDisk geen gebruik van encryptie bij het uitwisselen van bestanden. In 2014 maakten criminelen gebruik van deze kwetsbaarheden om toegang tot de harde schijven van zo'n 13.000 consumenten te krijgen.

De FTC stelt dat Asus de kwetsbaarheden niet tijdig heeft opgelost en consumenten niet over de risico's van kwetsbare routers heeft ingelicht. Zo liet de updatetool van de router weten dat het apparaat up-to-date was, ook al waren er beveiligingsupdates beschikbaar.

Schikking

Als onderdeel van de schikking die met de FTC is gesloten zal Asus een uitgebreid beveiligingsprogramma opstellen en uitvoeren en dit programma de komende 20 jaar door onafhankelijke audits laten controleren. Tevens zal Asus consumenten moeten waarschuwen voor de beschikbaarheid van updates, bijvoorbeeld via e-mail of sms. De elektronicafabrikant mag daarnaast consumenten niet meer misleiden over de veiligheid van de producten, waaronder of een apparaat up-to-date software gebruikt. De FTC heeft voor eigenaren van Asus-routers verschillende beveiligingstips online gezet.