Sicherheitslücken: FTC stellt Asus-Router 20 Jahre unter Beobachtung
Wie die US-amerikanische Federal Trade Commission (FTC) in einer Mitteilung bekanntgibt (PDF), muss Asus aufgrund gravierender Sicherheitslücken in den hauseigenen Routern in Zukunft nicht nur innerhalb von 180 Tagen ein umfangreiches Sicherheitsprogramm etablieren, sondern dieses auch 20 Jahre lang extern prüfen lassen.
Die FTC ist in den USA unter anderem für den Verbraucherschutz zuständig und hat sich im Verfahren mit Asus wegen angreifbarer Router, durch die Kunden einem hohen Sicherheitsrisiko ausgesetzt wurden, auf dieses Verfahren zur Sicherstellung der Sicherheit der Systeme geeinigt.
AiCloud und AiDisk waren unsicher
In der Beschwerdeschrift (PDF) hatte die FTC gleich mehrere Schwachstellen der Router von Asus bemängelt und beschrieben – auch vor dem Hintergrund, dass Asus selbst einige Funktionen explizit mit einer hohen Sicherheit und dem Schutz der persönlichen Daten bewirbt. Bemängelt wurden dabei unter anderem die Dienste AiCloud und AiData, mit denen Nutzern persönliche Daten von überall aus zugänglich machen können, über die aber auch Angreifer Zugriff auf die vermeintlich geschützten Dateien des Nutzers und seine Login-Daten für den Router erhalten haben können. Durch die Eingabe einer spezifischen URL sei es Angreifern zudem möglich gewesen, die Passwortabfrage von AiCloud zu umgehen und direkten Zugriff auf die Dateien des Nutzers zu erhalten.
Darüber hinaus habe es Asus im Jahr 2013 nach Kenntnis dieser Schwachstellen versäumt, die Nutzer zu informieren und zur Deaktivierung von AiCloud aufzufordern. Erst acht Monate nach Kenntnis seien E-Mails an registrierte Kunden verschickt worden, in denen sie zum Update der Firmware aufgefordert wurden, um die Sicherheitslücken zu schließen.
Zudem waren zahlreiche Router anfällig für Cross-Site-Request-Forgery (CSRF) und wiesen alle identische Login-Daten auf, die vom Nutzer bei der Einrichtung auch nicht verändert werden mussten – viele Nutzer behielten deshalb die Standardeinstellung für Benutzername und Passwort von „admin“ und „admin“ bei.
Nutzer müssen schneller informiert werden
Aufgrund der Versäumnisse in der Vergangenheit muss Asus aber nicht nur oben genanntes Sicherheitsprogramm etablieren und fortwährend überprüfen lassen, sondern verpflichtete sich auch, Nutzer in Zukunft schneller über Firmware-Updates oder Maßnahmen zum Schutz der persönlichen Daten zu informieren. Durch die Einwilligung in diese Auflagen umgeht Asus ein ansonsten eingeleitetes Verfahren der FTC. Die FTC entscheidet erst einen Monat nach Bekanntgabe dieser Einigung, ob sie in dieser Form in Kraft treten wird, weshalb sie bislang noch vorläufig ist.