Asus dovrà sottoporre i propri router c controlli di sicurezza indipendenti per i prossimi 20 anni: la Federal Trade Commission ha stabilito che sia questa la misura opportuna per rimediare alle vulnerabilità a cui l’azienda ha esposto i consumatori che confidavano nei suoi prodotti, pubblicizzati come in grado di “proteggere i computer da accessi non autorizzati, hacking e virus”.
Il caso aperto dalla FTC muove da una pericolosa vulerabilità venuta alla luce nel febbraio 2014, che aveva permesso ai cracker di guadagnare l’accesso a dispositivi di storage connessi al router a mezzo USB, gestibili online attraverso i servizi AiCloud e AiDisk. 12.937 utenti statunitensi erano stati danneggiati dalla falla, che richiedeva ai cracker di conoscere il solo indirizzo IP della macchina.
Il novero dei problemi di cui nel corso degli anni hanno sofferto i router Asus, e i loro utenti, è nutrito: dalle impostazioni per la creazione di server FTP che di default prevedevano accesso illimitato ai file attraverso AiDisk e ne permettevano altresì l’indicizzazione dei file da parte dei motori di ricerca, alle password di default decisamente intuibili, passando per i bug nel pannello di amministrazione che agevolavano attacchi di tipo XSS e cross-site request forgery con cui malintenzionati avrebbero potuto agire sulle impostazioni.
Asus, nonostante sia stata allertata da consumatori e ricercatori di sicurezza, in numerose occasioni avrebbe agito con lentezza, e senza avvertire i propri utenti a proposito delle vulnerabilità. Allo stesso modo, ha rilevato FTC, l’azienda ha spesso mancato di invitare i consumatori all’aggiornamento del firmware, qualora avesse posto rimedio ai bug: in alcuni casi, addirittura, il software che gestisce gli update mostrava come aggiornati dei prodotti ancora esposti a vulnerabilità ormai risolte.
“La Internet delle Cose sta crescendo in maniera inaspettatamente rapida, con milioni di consumatori che connettono i propri dispositivi smart alla loro rete domestica – ha osservato Jessica Rich, a capo del Bureau of Consumer Protection della FTC – I router giocano un ruolo chiave per la sicurezza di queste reti domestiche e per questo motivo è determinante che aziende come ASUS dispongano opportune misure di sicurezza per proteggere i consumatori e i loro dati personali”. La Commissione statunitense ha dunque disposto che Asus sottoponga i propri router a controlli di sicurezza indipendenti per le prossime due decadi, che consenta ai propri utenti di registrarsi a un servizio di notifica degli aggiornamenti in materia di sicurezza e che garantisca la massima trasparenza riguardo alle vulnerabilità e ai rischi. L’azienda è altresì diffidata dal pubblicizzare i propri prodotti come inattaccabili.
Gaia Bottà
Ti potrebbe interessare
24 feb 2016