Alarmerende bevindingen worden gepubliceerd in het Home Router Security Report 2020 van het Fraunhofer Instituut voor Communicatie, Informatieverwerking en Ergonomie FKIE. Van de 127 thuisrouters die door zeven grote fabrikanten zijn getest, bleken bijna alle beveiligingsfouten te vertonen, waarvan sommige zeer ernstig waren. De problemen variëren van het missen van beveiligingsupdates tot gemakkelijk ontsleutelde, hard gecodeerde wachtwoorden en bekende kwetsbaarheden die al lang geleden hadden moeten worden gepatcht.

Het Home Router Security Report 2020

Een team onder leiding van Peter Weidenbach en Johannes vom Dorp op de afdeling Cyber ​​Analysis & Defense van Fraunhofer FKIE had op 27 maart 2020 de nieuwste beschikbare firmware gedownload. Dit is dezelfde software die fabrikanten aanbieden aan klanten met een van deze 127 routers in service voor thuisgebruik.


De beveiligingsfouten werden gedetecteerd en geïdentificeerd met behulp van de Fraunhofer FKIE’s Firmware Analysis and Comparison Tool (FACT).  Uit de evaluatie bleek dat geen enkele router foutloos was. Sommigen van hen werden zelfs getroffen door honderden bekende kwetsbaarheden. Van de geteste routers hadden er 46 de afgelopen twaalf maanden geen beveiligingsupdate ontvangen ‘, meldt IT-beveiligingsexpert en FKIE-wetenschapper Peter Weidenbach. Het extreme geval onder de geëvalueerde apparaten had al meer dan vijf jaar geen beveiligingsupdate ontvangen.

Bij het opstellen van hun rapport concentreerden de FKIE-wetenschappers zich op verschillende beveiligingsaspecten, waaronder niet alleen beveiligingsupdates, maar ook welke versies van besturingssystemen worden gebruikt en de mate waarin kritieke beveiliging kwetsbaarheden deze versies beïnvloeden. Meer dan 90 procent van de geteste thuisrouters gebruikt het Linux-besturingssysteem, maar vaak zijn de gebruikte versies erg oud. Op dit punt behoudt vom Dorp zijn sterkste kritiek op de fabrikanten. Linux werkt continu aan het dichten van beveiligingsproblemen in het besturingssysteem en het ontwikkelen van nieuwe functionaliteiten. Eigenlijk zouden alle fabrikanten de nieuwste software moeten installeren, maar ze integreren deze niet in de mate dat ze dat zouden kunnen en moeten doen.

De wetenschappers van FKIE waren ook verbaasd over hoe wachtwoorden worden behandeld. Talloze routers hebben wachtwoorden die bekend zijn of eenvoudig te kraken – of anders hebben ze hard-gecodeerde referenties die gebruikers niet kunnen wijzigen. De onderzoekers ontdekten ook tal van, reeds lang bekende, beveiligingsproblemen die fabrikanten lang geleden hadden moeten elimineren.

Weidenbach vindt het volkomen onbegrijpelijk dat fabrikanten van thuis routers niet langer focussen op de beveiligingsaspecten waarmee hij en zijn team te maken hebben. Het is meteen duidelijk dat providers op geheel andere manieren omgaan met bestaande beveiligingsproblemen en hun eliminatie. AVM hecht bijvoorbeeld meer belang aan beveiligingsproblemen dan de andere providers, ook al hebben AVM-routers niet hun eigen beveiligingsfouten. Hij zei ook dat ASUS en Netgear in sommige opzichten betrouwbaarder waren dan D-Link, Linksys, TP-Link en Zyxel.

“Onze test heeft aangetoond dat een grootschalige geautomatiseerde veiligheidsanalyse van thuisrouters absoluut mogelijk is. En het grote aantal kwetsbaarheden dat in het rapport wordt geïdentificeerd, toont aan dat fabrikanten nog een lange weg te gaan hebben in hun inspanningen om deze apparaten veel veiliger te maken”.

Aldus vom Dorp.


Pin It on Pinterest