Milijuni starijih širokopojasnih usmjerivača imaju ove sigurnosne nedostatke, upozoravaju istraživači

Milijuni kućanstava u Ujedinjenom Kraljevstvu koriste stare širokopojasne usmjerivače koji bi mogli postati žrtve hakera, prema novoj istrazi koju je provela organizacija za nadzor potrošača Which? u suradnji sa sigurnosnim istraživačima.

Nakon anketiranja više od 6000 odraslih osoba, Which? identificirali 13 starijih usmjerivača koje potrošači diljem zemlje još uvijek često koriste i poslali ih stručnjacima za sigurnost iz tehnološkog savjetovanja Red Maple Technologies. Pronađeno je devet uređaja, nije zadovoljio moderne sigurnosne standarde.

Do 7,5 milijuna korisnika u Ujedinjenom Kraljevstvu moglo bi potencijalno biti pogođeno, procjenjuje se Which?, kao ranjivi usmjerivači predstavljaju priliku zlonamjernim akterima da špijuniraju ljude dok pregledavaju ili da ih usmjere na neželjenu poštu web stranice.

VIDJETI: Mrežna sigurnosna politika (TechRepublic Premium)

Jedan od glavnih problema tiče se nedostatka nadogradnji koje dobivaju stariji usmjerivači. Neki od modela za koje su ispitanici izjavili da ih koriste nisu ažurirani od 2018., a u nekim slučajevima čak i od 2016.

Uređaji istaknuti zbog nedostatka ažuriranja uključuju Skyjeve SR101 i SR102, Virgin Media Super Hub i Super Hub 2 te TalkTalkove HG523a, HG635 i HG533.

Većina pružatelja usluga, kada ih je kontaktirao Which?, rekla je da redovito nadziru uređaje radi prijetnji i ažuriraju ih ako je potrebno.

Virgin je odbacio istraživanje rekavši da 90% njegovih korisnika koristi rutere kasnije generacije. TalkTalk je za ZDNet rekao da nemaju što dodati izdanju.

Istraživači su također pronašli ranjivost lokalne mreže s EE-ovim Brightboxom 2, koja bi hakeru mogla omogućiti preuzimanje pune kontrole nad uređajem.

Glasnogovornik EE rekao je za ZDNet: "Sigurnost naših proizvoda i usluga shvaćamo vrlo ozbiljno. Kao što je navedeno u izvješću, ovo je ranjivost vrlo niskog rizika za mali broj naših korisnika koji još uvijek koriste EE Brightbox 2. (…) Željeli bismo uvjeriti korisnike EE Brightbox 2 da radimo na servisnoj zakrpi koju ćemo objaviti na pogođenim uređajima u nadolazećem pozadinskom ažuriranju." 

Osim toga, BT Group – koja posjeduje EE – izjavila je za Which? da stariji usmjerivači i dalje dobivaju sigurnosne zakrpe ako se pronađu problemi. Istraživači Red Maplea otkrili su da su stari uređaji iz BT-a nedavno ažurirani, kao i usmjerivači iz Plusneta.

Nadzornik potrošača savjetovao je da korisnici koji još uvijek koriste jedan od modela usmjerivača koji se više ne ažuriraju zatraže od svojih pružatelja usluga novi uređaj što je prije moguće.

To, međutim, nipošto nije zadano: dok Virgin Media kaže da daje besplatne nadogradnje za korisnike sa starijim usmjerivačima, politika nije uvijek tako jasna s drugim pružateljima usluga.

"Ne boli pitati", rekla je Hollie Hennessy, viša istraživačica u Which?. "Iako vam pružatelj internetskih usluga nije dužan besplatno dati novi usmjerivač, ako nazovete i objasnite svoje brige, možda ćete imati sreće, pogotovo ako je vaš usmjerivač prilično star." 

Za potrošače čiji ugovori uskoro istječu, Hennessy je predložio da zatraže novi usmjerivač kao uvjet da ostanu kod određenog pružatelja usluga – i da razmotre promjenu ako zahtjev nije ispunjen.

Slabe lozinke ostaju glavna briga 

Uz uskraćivanje redovitih ažuriranja, mnogi stariji usmjerivači također dolaze sa slabim zadanim lozinkama, koje hakeri mogu lako pogoditi i omogućiti pristup autsajderu.

To je bio slučaj s istim usmjerivačima TalkTalk i Sky, kao i Virgin Media Super Hub 2 i Vodafone HHG2500.

Prva stvar koju trebaju učiniti, za potrošače koji posjeduju jedan od ovih modela, je promijeniti lozinku u jaču, za razliku od zadane lozinke koja se nudi, rekao je Which?.

Organizacija, zapravo, poziva vladu da zabrani zadane lozinke i spriječi proizvođačima da dopuste potrošačima postavljanje slabih lozinki kao dio novog zakona koji je predložen prošli mjesec.

VIDJETI: Wi-Fi pristupne točke, mjerači zagađenja, lokatori vatrenog oružja: Kako rasvjetni stupovi čine gradove pametnijima

Kao dio napora da se uređaji učine "sigurnim po dizajnu", Odjel za digitalno, kulturu, medije i sport UK-a je najavio novi zakon koji će spriječiti proizvođače da koriste zadane lozinke kao što su "lozinka" ili "admin", kako bi bolje zaštitili korisnike od kibernetičkih napada.

Budući zakon također bi obvezao kupce obavijestiti koliko će dugo njihov novi proizvod primati sigurnosna ažuriranja. Osim toga, proizvođači bi morali osigurati javnu kontaktnu točku kako bi lakše prijavili sigurnosne propuste u proizvodima.

Na sličan način, Which? pozvali su pružatelje internetskih usluga na veću transparentnost. Organizacija je rekla da bi pružatelji usluga trebali biti jasniji o tome koliko dugo će usmjerivači primati firmware i sigurnosna ažuriranja te bi trebali aktivno nadograditi korisnike koji su u opasnosti.

Čini se da samo Sky, Virgin Media i Vodafone imaju web stranicu posvećenu dopuštanju istraživačima da dostave ranjivosti koje su pronašli u proizvodima tih tvrtki, navodi Which?.