Компания ASUSTeK Computer согласилась пойти на мировую с Федеральной торговой комиссией США, обвинившей ее в плохой защите выпускаемой продукции. По утверждению ФТК, из-за такого небрежения персональные данные 12,9 тыс. пользователей роутеров ASUS оказались в открытом доступе. По условиям мирового соглашения тайваньскому вендору придется в течение 20 лет регулярно проходить аудит и заплатить по $16 тыс. за каждый эпизод, то есть совокупный размер гражданско-правового взыскания может составить $206,4 млн.

В качестве основания для искового заявления американский регулятор указал в числе прочего громкий инцидент двухлетней давности, когда хакеры массово эксплуатировали уязвимости в роутерах ASUS для получения доступа к съемным дискам, подключенным через USB и используемым в качестве «облачных» хранилищ. ФТК сочла такое упущение тем более возмутительным, что на тот момент в рекламных материалах вендора утверждалось, что его роутеры «защищают компьютеры от любого несанкционированного доступа, взлома и вирусных атак», а также «защищают локальную сеть от атак хакеров».

Предложенное ФТК обоюдное соглашение, которое будет оформлено судебным приказом, обязывает ASUS «разработать и реализовывать комплексную программу обеспечения безопасности, подлежащую независимым проверкам в течение ближайших 20 лет». Текст мирового соглашения выложен в открытый доступ для обсуждения; владельцев сетевых устройств, пострадавших от взлома, призывают подавать комментарии до 24 марта. Судебный приказ войдет в силу через месяц после этого дедлайна.

«При большом количестве устройств, подключенных к домашним сетям, роутер является передовой линией обороны пользователя», — заявил в интервью Threatpost Нитхан Саннаппа (Nithan Sannappa), старший юрист ФТК по вопросам приватности и защиты личности. По свидетельству Саннаппа, упущения ASUS при обеспечении безопасности продуктов нанесли реальный вред пользователям. Во многих случаях пользовательские файлы, сохраненные на FTP-сервере с помощью AiDisk, были проиндексированы одним из ведущих поисковиков и стали общедоступными. Известен также как минимум один случай кражи личности: со съемного USB-диска были украдены данные о возвратах по налогам и другая финансовая информация.

Согласно исковому заявлению ФТК от 2014 года, меры безопасности, принятые ASUS, оказались провальными на многих уровнях. Так, простота обхода парольной защиты привела к появлению множественных уязвимостей CSRF и XSS. Некоторые пользователи ASUS также зафиксировали атаки с подменой настроек безопасности или DNS-настроек роутера.

Функции AiCloud и AiDisk, позволяющие подключать USB-диск к роутерам ASUS, позиционируются как «приватное персональное облако для выборочного обмена файлами», а также как способ «надежно защитить доступ к важным данным с помощью роутера». Тем не менее ФТК утверждает, что используемая при этом реализация FTP ненадежна, так как не предполагает шифрование данных при передаче по сети. Именно это, по мнению американского регулятора, помогло атакующим получить несанкционированный доступ к 12,9 тыс. роутеров ASUS.

Кроме того, пользователи, пытавшиеся загрузить апдейт для прошивки, столкнулись с еще одной проблемой: софт ASUS ошибочно уверял их, что прошивка обновления не требует.

Неприятности для клиентов ASUS начались еще в 2013 году, когда исследователь Кайл Ловетт (Kyle Lovett) публично заявил, что роутеры этого вендора подвержены удаленным атакам из-за уязвимостей в сервисе AiCloud. Позднее, в феврале 2014 года, неизвестный хакер загрузил на тысячи роутеров ASUS текстовый файл с таким сообщением: «Доступ к вашему ASUS-роутеру (и документам) может получить любой, у кого есть интернет-связь».

На момент публикации этой новости ASUS не ответила на запрос Threatpost о комментарии.

Категории: Кибероборона, Уязвимости