[情報] D-Link 4 大漏洞未改被起訴!?
台灣 D-Link(友訊)絕對是網絡產品主要品牌之一,但今日竟然被美國當局 FTC(聯邦
貿易委員會)起訴,指控 D-Link 網絡產品存在安全漏洞,容易被駭客進行入侵,令一般
用家陷於網絡保安風險。至於 D-Link 方面當然反駁指控,並會在訴訟中極力捍衛自家產
品的安全性。
四大保安罪狀
雖然訴訟未正式開始,但 D-Link 網絡產品型號眾多及銷售至全球故,故受影響用家的數
量肯定不計其數。FTC 當局已入禀美國加州三藩市區域法院,主要指控以下 4 項缺陷,
包括:
1. 路由器韌體 (Firmware) 預設內建「guest」(訪客) 帳戶,而且登入密碼亦是
「guest」。此帳戶或無法被移除,令駭客很容易便能登入路由器及關掉保安功能,繼而
向 LAN 網絡內的電腦進行惡意攻擊;
2. 路由器潛在 Command Injection (命令注入弱點)缺陷,令駭客可全權控制路由
器及 I.P. Cam。上述缺陷於 2016 年 7 月已被日本 Senrio(千里眼)網絡保安關注團
隊所揭發,惟 D-Link 至今仍未有效解決;
3. D-Link 旗下的手機 Apps,將用家的網絡密碼儲存於未加密的文字檔內,導致容易
被駭客竊取密碼,並向用家的網絡內電腦進行惡意攻擊;
4. D-Link 員工曾錯誤地將網絡產品的個人簽署鎖匙 (private signing keys),連
同產品韌體的原程碼,一併以 GPL(通用公眾授權)形式在網上公開發佈,期間長達 6
個月。此意外令駭客能擅自登入 D-Link 路由器及 I.P. Cam 產品,暗中進行偷錄影片而
不被用家發現。FTC 指控 D-Link 迄今仍未解決上述問題。
改密碼乃短期措施
FTC 方面控狀續指,上述保安缺陷還會導致 D-Link 產品的用家,能被駭客監察知悉當前
位置,或在線上交易中能竊取用家的個人及付款資訊等。FTC 要求法院以違反邦貿易委員
會法案 (FTC Act of 1914)為由,要求 D-Link 立即採取改善措施。然而,D-Link 美
國分公司發言人 Ashley Nakano 則立即反駁指控,並宣稱公司將於短期內向用家提供資
訊。
ezone.hk 小編認為無論 D-Link 產品潛在問題與否,由於官方需時間修正、測試及發佈
各產品的新版韌體,「遠水不能救近火」。故讀者若是使用者之一,建議即時立即基本採
取措施譬如:更改無線路由器及 I.P. Cam (網絡監察鏡頭) 的主登入密碼、Wi-Fi 網
絡密碼,密碼亦應使用較長字串 (含有字元、數字、大小楷並用)等,避免駭客再次暗
中進行攻擊。
原文在這http://m.e-zone.com.hk/channelnews.php?id=21534
先把密碼都換掉吧
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.248.206.249
※ 文章網址: https://www.ptt.cc/bbs/Broad_Band/M.1483931160.A.282.html
推
01/09 18:45, , 1F
01/09 18:45, 1F
推
01/10 01:52, , 2F
01/10 01:52, 2F
→
01/10 01:52, , 3F
01/10 01:52, 3F
推
01/10 15:00, , 4F
01/10 15:00, 4F
推
01/10 17:17, , 5F
01/10 17:17, 5F
推
01/13 19:04, , 6F
01/13 19:04, 6F
推
01/15 15:57, , 7F
01/15 15:57, 7F
推
01/15 15:59, , 8F
01/15 15:59, 8F
→
01/15 15:59, , 9F
01/15 15:59, 9F