作为FTC和解协议的一部分,D-Link将接受为期10年的安全审计

D-Link还必须为其路由器和安全摄像头实现一个新的、现代化的软件安全程序。

D-Link已同意与美国联邦贸易委员会(Federal Trade Commission)就2017年的一项诉讼达成和解。美国联邦贸易委员会指控这家台湾硬件制造商歪曲其设备的安全性,无视漏洞报告。

作为和解协议的一部分,D-Link承诺为其路由器和联网摄像头实施新的软件安全程序。

该公司还同意接受第三方独立审计机构为期10年的两年一次的安全审计。联邦贸易委员会有权选择审核员,而D-Link有权决定审核员在审查其安全程序之前必须获得的认证。

D-LINK的新软件安全程序

根据32页的和解协议,D-Link的新软件安全程序必须包括一系列必要的组件,如:

•参与安全规划,以书面形式列举功能和特性将如何影响其设备的安全性。

•进行威胁建模,以识别使用其设备传输的数据的安全和外部风险。

•在使用自动静态分析工具发布产品之前,检查源代码并测试漏洞。

•通过维护一个共享代码数据库来执行正在进行的代码维护,以便在报告或发现漏洞时帮助找到漏洞的其他实例。

•在软件开发过程的任何阶段识别出的旨在解决安全缺陷或类似安全缺陷实例的修复过程。

•对可能影响其产品的潜在漏洞进行安全研究的持续监控。

•接受安全研究人员的漏洞报告的流程,包括为安全研究人员提供指定的联络点,任命监督人员验证所关注的问题。

为其设备实现自动固件更新机制。

•警告设备所有者,某个特定型号已停止接收安全更新,至少在该公司决定停止支持某个型号之前60天。

该和解协议源于2017年美国联邦贸易委员会(FTC)的一项申诉。在该申诉中,美国联邦贸易委员会指控这家台湾设备制造商将其产品和移动应用程序的硬编码证书留在固件或源代码中,导致客户容易遭到黑客攻击。

友讯科技欢迎结算

在一份新闻稿中,友讯科技欢迎和解和很高兴,联邦贸易委员会没有声称友讯科技是故意误导客户,FTC不禁止公司做出任何声明对其设备的安全,喜欢它禁止其他物联网供应商在各自的营销材料。

这一和解协议与FTC与物联网公司达成的其他协议形成了鲜明对比,这些协议包括对这些公司可能对其产品发表的言论进行非常广泛的限制。重要的是,不同于FTC指控的其他物联网问题的‘欺骗’,今天的拟议命令没有包含这样的限制,”D-Link说。

该设备制造商也很高兴自己没有收到罚款,而FTC也经常在许多和解协议中施加罚款。

联邦贸易委员会还为D-Link的新安全计划提供了为期两年的安全港,这样这家硬件制造商就可以为其新软件安全计划获得所有必要的安全认证。

2016年,FTC与华硕(ASUS)达成了类似的和解。华硕在路由器也未能获得安全保护后,同意接受20年的安全审计。

原文链接: https://www.zdnet.com/article/d-link-to-undergo-security-audits-for-10-years-as-part-of-ftc-settlement/

上一篇:特工史密斯恶意软件感染25M Android手机推送恶意广告

下一篇:GDPR最新罚单:继英航之后,万豪也因泄露3.83亿用户信息面临9900万英镑罚款