華碩路由器預設的帳號和密碼都是非常容易猜到的admin,
加上沒有要求使用者更改預設密碼,
也使得華碩路由器一旦連網就門戶洞開。
再者,駭客也可以利用一些常見的網路漏洞,
入侵華碩Web介面的控制平臺獲得控制權,
駭客就可以做到遠端關閉相關的安全措施。
駭客掌握一個特定的IP位址時,也可以繞過AiCloud的安全授權機制,
在這個瀏覽和資料傳輸的過程中,並沒有任何加密措施,
所有的登錄資訊都是明碼傳輸,使得AiCloud很容易遭受到中間人攻擊。
路由器預設將使用者的私人USB隨身碟,只要有人知道路由器的IP位址,
就形同將使用者隱私開放給網路上的任何人。
甚至於,華碩公司只要求使用者設立安全性相對薄弱的帳號及密碼(預設帳號密碼為Family),
所有資料傳輸也都是明碼傳輸。
一定要更改路由器預設的帳號及密碼,不論是否是華碩路由器產品,這都是使用者應該做的第一個動作。
再者,對於使用者的權限設定,絕對不能設定為「無限」的使用者權限,
除了管理員權限外,一般的使用者建議權限都設為「有限」以避免使用者權限過大,
導致不必要的資安風險。
第三,華碩路由器提供獨特的雲端儲存功能,使用者也必須留意,一旦有任何資料共享時,
都必須謹慎確認可以資料共享的使用者,究竟具有多少權限,避免無限制的共享功能,
往往是相對安全的。
最後,使用者必須定期更新產品的安全性,註冊產品提供的安全更新窗口,
定期更新產品軟體和硬體漏洞,而華碩路由器上原本不具備更新檢查功能的按鍵,
華碩公司也必須立即透過軟體更新功能,讓使用者可以確認該產品,
是否已經更新到最新版的修補程式,以確保產品安全性。
6點建議,希望有助於物聯網企業可以做到安全連網。
第一點,就是要做到安全啟動(Start with security)
第二點,透過使用者的眼睛設計產品。
第三點,使用者就不用花更多心血是了解什麼才是安全性的操作。
第四點,關注市面上各種安全警告
第五點,隨時讓使用者掌握漏洞修補的進度與狀況
最後一點,可以借鏡美國聯邦貿易委員會公布的案件,從中學得經驗與教訓
發表文章
沒有留言:
張貼留言