Asus phải đối mặt với án phạt bị kiểm tra bảo mật trong 20 năm đối với thiết bị định tuyến không dây thiếu an toàn

Hiện tại Asus đang phải đối mặt với vấn đề liên quan đến bộ luật do Ủy ban thương mại Liên Bang Mỹ (FTC) ban hành về việc thiết bị định tuyến không dây (Asus Wireless Routers) do công ty này sản xuất thiếu an toàn. Theo đó Asus sẽ phải chịu sự kiểm tra bảo mật độc lập 2 năm một lần, liên tục trong 20 năm tới.

Động thái này được FTC đặt ra sau nhiều sơ suất kém bảo mật của thiết bị định tuyến không dây (Asus Wireless Router) của hãng này khiến các hộ gia đình và các mạng doanh nghiệp với hàng trăm ngàn khách hàng chịu rủi ro. Nếu Asus bị phát hiện vi phạm thỏa thuận, công ty này có thể phải trả một mức phạt dân sự là 16,000 đô la cho mỗi lần vi phạm thỏa thuận đó.

Tại thời điểm Asus cho ra mắt sản phẩm của mình, thiết bị định tuyến của hãng này được quảng bá trên website với những từ ngữ như bộ định tuyến “Bảo mật”, “Thông minh”. Nhưng sự thật lại không như những gì hãng này nói:

1. Tài khoản và mật khẩu mặc định : ADMIN

Trong năm 2014, một lỗ hổng bảo mật nghiêm trọng đã được công bố công khai với mật khẩu mặc định trong các sản phẩm của Asus. Tin tặc có thể sử dụng một đoạn script độc hại với các thông tin tài khoản mặc định để chiếm quyền truy cập trái phép vào router và xâm nhập vào mạng của nạn nhân. Asus không hề thông báo hay nhắc nhở người dùng thay đổi tài khoản và mật khẩu mặc định này nhằm duy trì an toàn và riêng tư cho mạng của mình.

2. Trang quản trị router dễ dàng bị tấn công

Trong điều tra của mình, FTC phát hiện ra rằng hầu hết các biện pháp bảo mật do Asus đưa ra đều dễ dàng bị qua mặt. Thông qua một trong những lỗ hổng bảo mật phổ biến hiện nay, tin tặc có thể chiếm quyền điều khiển trang quản trị và vô hiệu hóa cài đặt bảo mật thông qua giao diện web.

3. Asus AiCloud & AiDisk dễ dàng bị tấn công từ xa

Dịch vụ điện toán đám mây cung cấp bởi Asus có tên AiCloud và AiDisk chứa nhiều lỗ hổng nghiêm trọng cho phép tin tặc truy cập vào ổ đĩa cứng của nạn nhân từ xa ở bất cứ đâu, dẫn đến xâm hại hoàn toàn hệ thống. AiCloud cung cấp cho khách hàng dịch vụ cho phép người dùng duyệt các tập tin (trong một cloud) như là một cloud thu nhỏ sau khi cắm ổ cứng USB của họ vào router.

Kỹ thuật tấn công Man-in-the-Middle dễ dàng được thực hiện thành công do thông tin tài khoản đăng nhập không được mã hóa trong quá trình truyền tải. Vấn đề này đã được cảnh cáo từ tháng 1/2014 nhưng ASUS vẫn không thông báo cho người dùng nâng cấp firmware sau khi vá lỗ hổng.

4. Nút ‘Check for Upgrades’ không hoạt động

FTC phát hiện các nút dành cho chức năng cập nhật “Check for Upgrades” chỉ được làm giả mà không hề có các hàm thực thi đằng sau. Tất cả các khiếu nại đều chỉ ra tình trạng lỏng lẻo trong các biện pháp bảo mật của Asus.

Vụ việc dấy lên nhiều quan ngại về vấn đề bảo mật cho các thiết bị làm việc trong môi trường mạng – Internet of Thing (IoT) do router là thiết bị kết nối với mạng Internet. Không chỉ Asus, hơn 300.000 router được sản xuất bởi các hãng khác như D-Link, Micronet, Tenda, TP-Link đều bị xâm hại thông qua các phương pháp tương tự.

THN