D-Link通过同意未来十年的独立安全审计 - 影响其路由器和互联网连接的摄像头,使其与美国联邦贸易委员会(FTC)结算。
FTC投诉源于D-Link的未能执行基本的安全软件开发,包括测试和修复以解决众所周知的和可预防的安全漏洞,同时声称它提供了“高级网络安全”。
缺陷包括使用易于猜测的用户名和密码使用硬编码登录凭据,以及在纯文本中存储其应用程序上的密码。
本公司已承诺实施新的软件安全计划,并在未来十年内从第三方独立审计师进行安全审核。
该程序包括在发布前测试漏洞的产品,正在进行监控以解决安全漏洞,发出自动安全更新,并从安全研究人员接受漏洞报告。
FTC的消费者保护局主任Andrew Smith表示,“我们起诉了对其路由器和IP摄像机的安全性和IP摄像机的安全性,冒险将用户的最敏感的个人信息暴露在一起。”
“连接设备的制造商和销售商应该意识到FTC将使他们持有解释将用户数据暴露给妥协风险的故障。”
根据32页结算,D-Link的新软件安全程序必须包括一系列不必要的组件,例如:
通过枚举编写功能和功能如何影响其设备的安全性的安全规划。表现威胁建模,以识别使用其设备传输的数据安全性的内部和外部风险。在释放产品之前,请在释放产品之前进行源代码和测试漏洞。使用自动静态分析工具。通过维护用于帮助查找漏洞或以其他方式发现的漏洞查找漏洞的其他实例来帮助查找漏洞的其他实例的持续代码维护。旨在解决安全漏洞的方法,或者安全漏洞的类似实例。 ,在软件开发过程的任何阶段确定了对可能影响其产品的潜在漏洞的安全研究监测。用于接受安全研究人员的漏洞报告的过程,包括为安全研究人员提供指定的联系点,任命监督P. Ersonnel验证涉及.Warning设备所有者,特定模型已停止接收安全更新,至少60天决定停止支持模型。“这种解决方案对FTC与IOT公司的其他同意命令造成了对比,其中包括对这些公司对其产品的说法的非常广泛的限制,”D-Link在一份声明中表示。
“重要的是,与FTC所谓的”欺骗“所谓的其他物权事项不同,今天的拟议命令没有含有这种限制。”