Większość domowych routerów posiada krytyczne luki. Producenci nie wdrażają aktualizacji
Według raportu Towarzystwa Fraunhofera Wspierania Badań Stosowanych, każdy spośród 127 popularnych routerów domowych posiada chociaż jedną poważną lukę w zabezpieczeniach. Część z nich jest znana od lat, a urządzenia nie otrzymały aktualizacji.
Raport "Home Router Security Report" opracowany przez Petera Widenbacha oraz Johannesa vom Dorp wskazuje, że nawet setki znanych luk można nadal wykorzystać do przejęcia kontroli nad domowymi urządzeniami sieciowymi. Według średniej, urządzenia firm D-Link, Netgear, ASUS, Linksys, TP-Link oraz Zyxel, są wystawione na 53 luk opisanych w CVE. Natomiast najbezpieczniejszy router miał "zaledwie" 21 podatności.
Podczas eksperymentu wzięto pod uwagę aktualizacje urządzeń i wersję systemu operacyjnego, a następnie podjęto próby wykorzystania wszystkich znanych krytycznych luk, które ich dotyczyły. Wyniki przerosły nawet oczekiwania niemieckich badaczy. "Konieczne są znacznie większe wysiłki, aby domowe routery były tak bezpieczne, jak obecne systemy komputerowe lub serwerowe" - napisali w podsumowaniu raportu.
Producenci zrzucają winę na użytkowników, a sami nie wdrażają aktualizacji
Często problem kiepskich zabezpieczeń zrzuca się na fatalną konfigurację urządzeń sieciowych. Naukowcy zaznaczają jednak, że nie są one podstawowymi problemami związanymi z bezpieczeństwem. Analiza wykazuje, że producenci tych urządzeń nawet nie starają się zadbać o aktualizację oprogramowania sterującego. Niekiedy nawet nowe update'y nie rozwiązywały starych problemów.
116 z 127 urządzeń, czyli 91 proc. opiera się Linuxie. Wydawałoby się, że powinno to oznaczać gwarancję bezpieczeństwa, ale... większość z tych routerów nadal wykorzystuje wersję jądra 2.6, czyli sprzed 17 lat. Jak zaznaczają naukowcy - "prowadzi to do dużej liczby krytycznych i poważnych luk wpływających na te urządzenia".
W teście najlepiej wypadły urządzenia firmy AMV International, chociaż jej routery również posiadały wady. ASUS i Netgear również traktują kwestie bezpieczeństwa poważniej, niż niektórzy wymieniani producenci. Urządzenia otrzymują aktualizację dużo częściej, a także korzystają z bardziej aktualnych wersji jądra Linux. Najgorzej wypadły natomiast urządzenia marki D-Link, Linksys, TP-Link oraz Zyxel.