研究人员发现华硕路由器收集用户访问记录等隐私数据

基于网络发展和使用需求已经越来越多的用户开始选择智能路由器， 但智能归智能安全性倒是非常值得关注。

日前就有安全研究人员发现了华硕路由器使用的 ASUSWRT 存在收集用户的网页访问记录并与趋势科技共享。

华硕路由器ASUSWRT固件的部分功能需要同意来自趋势科技的许可协议，这份许可协议中包含了以下条款：

某些可能涉及隐私的数据和信息将会发送到趋势科技所属的远程服务器进行安全扫描或者是用于本许可协议所述的其他用途的目的。

此转发数据可能包括有关潜在的安全风险信息以及用户访问的网页地址即URL，由趋势科技进行分析是否存在欺诈或安全类的问题。

转发数据还可能包括标识为垃圾邮件或含有恶意软件电子邮件信息，其中包括存储在路由器文件中的个人身份信息和其他敏感数据。

同时在许可协议中还注明了：

趋势科技同时会保留对使用和分析转发数据产生的任何知识产权或者是工作产品的所有权等等，包括该所有权产生的各种收益等等。

这意味着趋势科技不但可以收集到用户的隐私数据信息，同时还可能将此类信息用于广告营销等营收手段等。

用户只要使用路由器中的下列功能就会向趋势科技提交信息：流量分析、带宽监视器、网络分析仪以及保护。

同时华硕还授权趋势科技使用普通用户配置的QoS设置信息，QoS是用于调整和限制应用对网络的占用等等。

早期版本的ASUSWRT固件允许用户自行调整QoS策略，但在后续版本更迭中华硕已经删除了QoS手动调整。

取而代之的是华硕内置了多个诸如游戏和即时通讯默认QoS，用户虽然可以调整但不能完全进行自定义设置。

潜在安全问题：

除隐私问题外ASUSWRT固件的家长保护功能可以设置通知，将该功能新通知通过电子邮件的形式发送出去。

该功能需要用户自行配置电子邮件的发信服务，而用户的电子邮件账号以及密码等关键信息均是以明文存储。

原本华硕约每隔十周就会更新ASUSWRT修复安全漏洞，但当前华硕的更新频率越来越低因此存在安全问题。

如果攻击者发现安全漏洞并进行利用则会窃取用户的电邮信息，利用这些信息再去攻击其他网站的同名账号。