Το Γερμανικό Ινστιτούτο Επικοινωνίας Fraunhofer (FKIE) διεξήγαγε μια έρευνα που περιελάμβανε 127 οικιακά router από επτά διαφορετικές μάρκες, σε μία προσπάθεια να εξετάσει την παρουσία σφαλμάτων ασφαλείας στο πιο πρόσφατο firmware. Τα αποτελέσματα της έρευνας είναι ανησυχητικά. Συγκεκριμένα, σύμφωνα με την έρευνα, 46 router δεν έλαβαν ούτε μία ενημέρωση ασφαλείας τον τελευταίο χρόνο κι εκτελούν unpatched Linux, ενώ πολλά router επηρεάζονται από εκατοντάδες γνωστά σφάλματα. Επιπλέον, οι προμηθευτές αποστέλλουν ενημερώσεις firmware χωρίς να διορθώνουν γνωστά σφάλματα, πράγμα που σημαίνει ότι ακόμη και αν ένας καταναλωτής εγκαταστήσει το πιο πρόσφατο firmware από έναν προμηθευτή, το router θα εξακολουθεί να είναι ευάλωτο.
Τα αποτελέσματα της έρευνας έδειξαν ότι η ASUS και η Netgear κάνουν καλύτερη δουλειά ως προς την διασφάλιση των router, συγκριρτικά με τις D-Link, Linksys, TP-Link και Zyxel. Ωστόσο, η βιομηχανία πρέπει να κάνει περισσότερα για να ενισχύσει και να εξασφαλίσει τα οικιακά router.
To FKIE διαπίστωσε, ακόμη, ότι η AVM, μία γερμανική εταιρεία κατασκευής router, ήταν ο μόνος προμηθευτής που δεν δημοσίευσε ιδιωτικά κλειδιά κρυπτογράφησης στο router firmware του. Το Netgear R6800 router περιείχε 13 ιδιωτικά κλειδιά. Στις χειρότερες περιπτώσεις συσκευών που αξιολογήθηκαν από το FKIE, τα router είχαν να λάβουν ενημερώσεις πάνω από πέντε χρόνια. Περίπου το 90% των router που συμπεριλήφθηκαν στην έρευνα, χρησιμοποιούσαν λειτουργικό σύστημα Linux. Ωστόσο, οι κατασκευαστές δεν ενημερώνουν το λειτουργικό σύστημα με διορθώσεις που διατίθενται από τους συντηρητές του πυρήνα Linux.
Ο Johannes vom Dorp, επιστήμονας στο τμήμα Ανάλυσης και Άμυνας του κυβερνοχώρου του FKIE, δήλωσε πως το Linux λειτουργεί συνεχώς για να κλείσει τα σφάλματα ασφαλείας στο λειτουργικό του σύστημα και να αναπτύξει νέες λειτουργίες. Πρόσθεσε επίσης πως οι κατασκευαστές θα πρέπει να εγκαταστήσουν το πιο πρόσφατο λογισμικό, αλλά δεν το ενσωματώνουν στο βαθμό που θα μπορούσαν και θα έπρεπε να το κάνουν. Ανέφερε επίσης πως πολλά router έχουν κωδικούς πρόσβασης που είναι πολύ κοινοί ή απλοί, κι επομένως μπορούν εύκολα να “σπάσουν”.
Η έρευνα εξέτασε πέντε βασικά σημεία σε εικόνες firmware για να αξιολογήσει την προσέγγιση κάθε κατασκευαστή στην κυβερνοασφάλεια. Μεταξύ αυτών περιλαμβάνονταν α) οι μέρες από την τελευταία ενημέρωση του firmware, β) το πόσο χρονών είναι οι εκδόσεις λειτουργικού συστήματος που εκτελούν αυτά τα router, γ) η χρήση τεχνικών μετριασμού εκμετάλλευσης και δ) η παρουσία hard-coded credentials σύνδεσης.
Σύμφωνα με το FKIE, οι κατασκευαστές router καθυστερούν σημαντικά στην παροχή ενημερώσεων ασφαλείας σε σύγκριση με τους κατασκευαστές λειτουργικών συστημάτων. Η πολιτική ενημέρωσης των προμηθευτών router είναι πολύ πίσω από τα standards που είναι γνωστά από λειτουργικά συστήματα desktop ή server. Οι περισσότερες από τις συσκευές τροφοδοτούνται από Linux και οι ενημερώσεις κώδικα ασφαλείας για πυρήνα Linux και άλλο λογισμικό ανοιχτού κώδικα κυκλοφορούν αρκετές φορές το χρόνο. Αυτό σημαίνει ότι οι προμηθευτές θα μπορούσαν να διανέμουν ενημερώσεις ασφαλείας στις συσκευές τους πολύ πιο συχνά, αλλά δεν το κάνουν, σύμφωνα με το FKIE.
Τα αποτελέσματα αντικατοπτρίζουν τα ευρήματα μιας έρευνας που διεξήχθη το 2018 από το American Consumer Institute (ACI) στις ΗΠΑ, η οποία ανέλυσε 186 οικιακά router, από 14 διαφορετικούς προμηθευτές. Σύμφωνα με τα αποτελέσματά της, το 155, 83% του δείγματος firmware είχε ευπάθειες σε πιθανές κυβερνοεπιθέσεις, ενώ κάθε router είχε κατά μέσο όρο 172 ευπάθειες. Επιπλέον, η ACI επέκρινε τους κατασκευαστές router που δεν παρέχουν μηχανισμό αυτόματης ενημέρωσης για να ενημερώνουν τα router. Οι ενημερώσεις γίνονται συνήθως μετά από σοβαρές επιθέσεις που έχουν ως στόχο router, όπως το Mirai IoT malware και το VPNFilter malware που χρηματοδοτείται από το κράτος.
Η έρευνα του FKIE διαπίστωσε ότι περισσότερο από το ένα τρίτο των συσκευών χρησιμοποιούν έκδοση πυρήνα 2.6.36 ή παλαιότερη, ενώ η τελευταία ενημέρωση ασφαλείας για την 2.6.36 κυκλοφόρησε τον Φεβρουάριο του 2011. Βρήκε επίσης ένα Linksys WRT54GL router με Linux έκδοση πυρήνα 2.4. 20 που κυκλοφόρησε το 2002. Τέλος, σύμφωνα με την έρευνα, η χειρότερη περίπτωση σχετικά με τα σφάλματα υψηλής σοβαρότητας είναι το Linksys WRT54GL router που τροφοδοτείται από τον παλαιότερο πυρήνα που βρέθηκε στην έρευνα, ενώ υπάρχουν 579 σφάλματα υψηλής σοβαρότητας που επηρεάζουν αυτό το προϊόν.
