ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

Sicherheitslücken: FTC stellt Asus-Router 20 Jahre unter Beobachtung

Frank Hüber
32 Kommentare
Sicherheitslücken: FTC stellt Asus-Router 20 Jahre unter Beobachtung
Bild: Asus

Wie die US-amerikanische Federal Trade Commission (FTC) in einer Mitteilung bekanntgibt (PDF), muss Asus aufgrund gravierender Sicherheitslücken in den hauseigenen Routern in Zukunft nicht nur innerhalb von 180 Tagen ein umfangreiches Sicherheitsprogramm etablieren, sondern dieses auch 20 Jahre lang extern prüfen lassen.

Die FTC ist in den USA unter anderem für den Verbraucherschutz zuständig und hat sich im Verfahren mit Asus wegen angreifbarer Router, durch die Kunden einem hohen Sicherheitsrisiko ausgesetzt wurden, auf dieses Verfahren zur Sicherstellung der Sicherheit der Systeme geeinigt.

AiCloud und AiDisk waren unsicher

In der Beschwerdeschrift (PDF) hatte die FTC gleich mehrere Schwachstellen der Router von Asus bemängelt und beschrieben – auch vor dem Hintergrund, dass Asus selbst einige Funktionen explizit mit einer hohen Sicherheit und dem Schutz der persönlichen Daten bewirbt. Bemängelt wurden dabei unter anderem die Dienste AiCloud und AiData, mit denen Nutzern persönliche Daten von überall aus zugänglich machen können, über die aber auch Angreifer Zugriff auf die vermeintlich geschützten Dateien des Nutzers und seine Login-Daten für den Router erhalten haben können. Durch die Eingabe einer spezifischen URL sei es Angreifern zudem möglich gewesen, die Passwortabfrage von AiCloud zu umgehen und direkten Zugriff auf die Dateien des Nutzers zu erhalten.

Darüber hinaus habe es Asus im Jahr 2013 nach Kenntnis dieser Schwachstellen versäumt, die Nutzer zu informieren und zur Deaktivierung von AiCloud aufzufordern. Erst acht Monate nach Kenntnis seien E-Mails an registrierte Kunden verschickt worden, in denen sie zum Update der Firmware aufgefordert wurden, um die Sicherheitslücken zu schließen.

Zudem waren zahlreiche Router anfällig für Cross-Site-Request-Forgery (CSRF) und wiesen alle identische Login-Daten auf, die vom Nutzer bei der Einrichtung auch nicht verändert werden mussten – viele Nutzer behielten deshalb die Standardeinstellung für Benutzername und Passwort von „admin“ und „admin“ bei.

Nutzer müssen schneller informiert werden

Aufgrund der Versäumnisse in der Vergangenheit muss Asus aber nicht nur oben genanntes Sicherheitsprogramm etablieren und fortwährend überprüfen lassen, sondern verpflichtete sich auch, Nutzer in Zukunft schneller über Firmware-Updates oder Maßnahmen zum Schutz der persönlichen Daten zu informieren. Durch die Einwilligung in diese Auflagen umgeht Asus ein ansonsten eingeleitetes Verfahren der FTC. Die FTC entscheidet erst einen Monat nach Bekanntgabe dieser Einigung, ob sie in dieser Form in Kraft treten wird, weshalb sie bislang noch vorläufig ist.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz