via G1
O pesquisador de segurança Blazej Adamczyk, da Universidade de Tecnologia Silesiana da Polônia, divulgou três vulnerabilidades existentes em oito modelos de roteadores da marca D-Link. Segundo ele, as falhas foram encontradas e relatadas à companhia em maio, mas a empresa não lançou atualizações nem se pronunciou sobre os problemas, o que levou Adamczyk a publicar os detalhes técnicos.
De acordo com o especialista, que é fundador do grupo de pesquisa "sploit.tech", a exploração das brechas permite tomar o controle total do equipamento, permitindo desde a alteração das configurações até a possível instalação de vírus nos roteadores.
A D-Link afirmou que "está ciente e investigando as múltiplas vulnerabilidades relatadas em oito roteadores de nosso portfólio e forneceremos as devidas atualizações aos produtos assim que possível".
As vulnerabilidades são relativamente simples de serem exploradas e permitem descobrir a senha configurada para o acesso ao painel administrativo do equipamento. Uma delas pode ser executada por uma página web caso a vítima tenha feito log-in no painel administrativo em outra aba ou janela do navegador na mesma sessão. No geral, as falhas só podem ser exploradas por computadores na rede local, mas, dependendo da configuração do equipamento, ele pode estar vulnerável pela internet também.
A alteração das configurações do roteador viabiliza uma série de ataques. É possível redirecionar o tráfego web, levando usuários para propagandas falsas ou sites financeiros clonados.
Para se proteger desses ataques, recomenda-se que o firmware (sistema operacional) do roteador seja mantido atualizado com o que é oferecido pelo fabricante. Infelizmente, nesse caso, não há atualização até o momento.
De acordo com Adamczyk, os seguintes modelos da D-Link estão vulneráveis:
- DWR-116 até a versão 1.06
- DIR-140L até a versão 1.02
- DWR-512 até a versão 2.02
- DIR-640L até a versão 1.02 (não comercializado oficialmente no Brasil)
- DWR-712 até a versão 2.02 (não comercializado oficialmente no Brasil)
- DWR-912 até a versão 2.02 (não comercializado oficialmente no Brasil)
- DWR-921 até a versão 2.02 (não comercializado oficialmente no Brasil)
- DWR-111 até a versão 1.01 (não comercializado oficialmente no Brasil)
A D-Link disse que "tem uma força-tarefa dedicada e uma equipe de gerenciamento de produtos preparada para tratar de questões de segurança em evolução e implementar medidas de segurança apropriadas". Os consumidores devem verificar o site da D-Link para procurar pelas atualizações.
D-Link é alvo de processo nos Estados Unidos
O Federal Trade Commission (FTC), um órgão regulador do governo norte-americano, processou a D-Link em 2017 alegando que a companhia enganou clientes com suas promessas a respeito da segurança dos produtos. O governo fundamentou o processo com diversos exemplos de vulnerabilidades em roteadores e câmeras IP fabricadas pela D-Link.
Em setembro de 2017, a D-Link conseguiu uma vitória no tribunal quando foram julgadas improcedentes as alegações do FTC quanto aos prejuízos que essas falhas teriam causado. De acordo com a corte, o FTC não trouxe exemplos concretos de prejuízo aos consumidores. No entanto, o tribunal manteve no processo as acusações de que a D-Link teria mentido sobre a segurança dos seus produtos. Isso não é uma condenação, mas obriga a empresa a argumentar em sua defesa.
A D-Link nega as acusações do FTC. Além de o órgão não ter apresentado evidências de prejuízo aos consumidores, a companhia entende que as demais alegações são vagas. O caso ainda aguarda uma sentença.
A D-Link não é a primeira empresa processada pelo FTC por questões de segurança. O órgão também moveu uma ação contra a Asus pelo mesmo motivo e a fabricante fechou um acordo com as autoridades no início de 2016. O acordo prevê ajustes de conduta, entre eles um programa de segurança sujeito a auditorias independentes por 20 anos.
Nenhum comentário:
Postar um comentário