I router vulnerabili costano ad Asus 20 anni di controlli obbligatori. È questa la conseguenza di quanto accaduto nel febbraio del 2014, quando migliaia di proprietari di router Asus hanno individuato un file di testo nel computer denominato “WARNING_YOU_ARE_VULNERABLE.txt”. Il messaggio era stato distribuito a puro scopo di avvertimento da una sorta di buon samaritano che aveva scoperto una falla nei sistemi di rete dell’azienda e aveva voluto in questo modo avvisare gli utenti
Il testo, che qui riportiamo in italiano, diceva:
“Questo è un messaggio automatico inviato a tutti gli utenti colpiti [sic]”, “Il router Asus (e i vostri documenti) possono essere consultati da tutti in tutto il mondo con una connessione Internet”.
L’anonimo invitava a visitare un sito web nel quale erano spiegati i dettagli della vulnerabilità che consentiva a potenziali cracker di accedere al computer di un utente con il solo di indirizzo IP pubblico della macchina. l fatto che ha indotto la Federal Trade Commission (FTC) statunitense a indagare scoprendo che in effetti esisteva una bug che aveva colpito un significativo numero di apparati (12.937 in tutto). Di qui la decisione, assunta ieri, di imporre ad Asus venti anni di controlli di sicurezza indipendenti per rimediare alle vulnerabilità e rischi cui ha sottoposto gli utenti negli ultimi anni. Asus è stata inoltre diffidata dal pubblicizzare i propri prodotti come inattaccabili.
L’FTC spiega che l’azienda non ha inviato i clienti ad aggiornare i firmware e che il meccanismo di verifica degli update mostrava spesso come aggiornati prodotti che in realtà non lo erano. Jessica Rich, a capo del Bureau of Consumer Protection della FTC, evidenzia il pericolo di simili situazioni e come i router siano fondamentali nella sicurezza delle reti domestiche per proteggere i consumatori e i loro dati personali. L’imposizione ad Asus affinché sottoponga a controlli indipendenti per i prossimi venti anni i suoi router, dovrebbe essere un monito alle tante aziende che sottovalutano gli aspetti della sicurezza.
Non è questo l’unico episodio controverso in cui è stata coinvolta Asus con i suoi router. Ha distribuito prodotti con impostazioni predefinite insicure, permettendo persino l’indicizzazione di server FTP privati da parte dei motori di ricerca. Non sono mancati bug per l’accesso al pannello di amministrazione, altri che agevolavano attacchi di tipo XSS e cross-site request forgery permettendo a potenziali malintenzionati di agire sulle impostazioni. Gli esperti hanno accusato Asus di avere agito con lentezza, non avvisando gli utenti delle pericolose vulnerabilità come sarebbe accaduto nel caso del bug scoperto dall’anonimo.