A routereket és hálózatra csatlakozó kütyüket gyártó vállalatok köztudottan nem szeretik túlságosan sokáig támogatni a termékeiket, ráadásul már azok piacra dobásának idején sem garantált, hogy nincsenek súlyos sebezhetőségek a szoftvereikben. Most látszólag nagy pácba került a D-Link, az USA Szövetségi Kereskedelmi Bizottsága (FTC) ugyanis egy szövetségi bíróság közreműködésével kívánja felelősségteljesebb magatartásra kötelezni a gyártót.
Az FTC által beadott perirat szerint a D-Link régóta és többféle módon is eltekint a routereinek és IP-kameráinak biztonságossá tételétől. Az eszközök szoftvereinek elkészítésekor már alapvetően sem fordít megfelelő figyelmet a biztonsági tesztelésre, így azokban rutinszerűen könnyen felfedezhető és kihasználható, kritikus sérülékenységek találhatóak. Ezen felül nem ritka, hogy a cég titkos felhasználói fiókok segítségével hátsó kaput tesz a termékeibe: ezeket a fiókokat nem tudják letiltani a vásárlók, így a szoftverekbe fixen bekódolt név/jelszó párosok ismertté válása után a támadók egyszerűen bejelentkezhetnek a hálózatra kapcsolt eszközökbe, majd átvehetik felettük az irányítást.
Ezen túlmenően az FTC sérelmezi, hogy a D-Link nem megfelelő belső biztonsági praktikáinak köszönhetően rossz kezekbe kerülhetett a szoftverek aláírására használt titkosítókulcsa. A privát aláírókulcs birtokában a támadók megszemélyesíthették a vállalatot, megfelelő körülmények mellett például támadó kóddal ellátott szoftverfrissítést próbálhattak meg terjeszteni a termékeire. Végül az sem tetszik a hatóságnak, hogy a D-Link egyik mobilos alkalmazása titkosítás és egyebek nélkül, sima szöveges formában tárolja a felhasználók bejelentkezési adatait.
(Forrás: Ars Technica | Nyitókép: Wei-Te Wong)
