Nézzük csak meg mi a "fostorony".
Az elején szögezzük le, hogy több termékükhöz is volt "szerencsém". Sajnos.
Egy egészen aktuális példa:
CVE-2019-15126 alias Kr00k. Több, mint 1 milliárd broadcom és cypress soc-al rendelkező eszközt érintő wifi sebezhetőség, melyhez készült exploit is. Érintett az ASUS Ai Mesh RT-AX92U eszköze is.
A sebezhetőség publikálása megtörtént 2020.február 5-én.
ASUS a fent említett eszközhöz kiadott 3.0.0.4.384.8681 verziójú firmware frissítésben adott ki javítást 2020.március 19-én. Tehát több, mint egy hónapig bárki számára elérhető súlyos sebezhetőség leírása alapján sebezhető volt az egyik legdrágább prémium termékük.
Lássuk ezzel szemben a MikroTik fostornyot:
Bár a CVE-2019-15126 nem érinti ezen eszközöket, viszont van egy szinte ugyanolyan sebezhetőség, ami épp a Qualcomm SoC-okat érinti: CVE-2020-3702.
A sebezhetőséget publikálták 2020. szeptember 8-án.
Javítás a 6.47.3-as verziótól letölthető, mely szeptember 1-én már elérhető volt! Tehát a fostorony MikroTik kiadta a frissítést még mielőtt a sebezhetőség részletei publikusan elérhetővé váltak volna.
Mivel az ASUS RT-AC59U szintén Qualcomm SOC-ot tartalmaz, ezért ugyanúgy érintett a CVE-2020-3702-es sebezhetőséggel, mint ahogyan szinte az összes MikroTik eszköz. A különbség annyi, hogy bár a legfrissebb Firmware szeptember 22-i, de az említett sebezhetőség a mai napig nem került javításra.
Lépjünk egy picit hátrébb és a példa kedvéért vizsgáljunk meg egy-egy 5 évvel ezelőtti eszközt:
A MikroTik 2015. szeptemberében bemutatta a RB951Ui-2nD vagyis az első hAP eszközt, mely 45 USD-be került.
A fentebb említett CVE-2020-3702 sebezhetőségben szintén érintett. A javítást szintén megkapta még a publikálás előtt. A legfrisebb stabil firmware: 2020.11.26.
Egy több, mint 5 éves termékről beszélünk.
Nézzünk egy közel 5 éves ASUS eszközt is hasonló kategóriában.
Sajnos nem jártam sikerrel, mert sehol nem találtam sem hivatalos dokumentációt sem semmilyen kiadványt arról, hogy mely eszközeik mikor jelentek meg a piacon, így az fccid hivatalos adatbázisára támaszkodtam, ahol egy-egy eszköz megfelelősségi nyilatkozatáról találhatók információk. Kinéztem az RTAC-53U wifi routert, mely mellett 2015.05.05-i dátum szerepelt. Általában az eszközök az FCC jóváhagyást már jóval megjelenésük előtt megkapják, de tekintsünk el ettől és legyünk nagyvonalúak. Rákeresve adott eszközre, semmi nincs a gyártó honlapján. Mintha tagadnák, hogy valaha is létezett. Ettől fogva pedig elég nehézkes lehet hozzáférni a már kiadott firmware frissítésekhez is és azt sem tudjuk mikori a legutolsó. Pedig a leírás alapján ez egy AC dualband eszköz, elméletileg "prémiumabb" mint a MikroTik. Véletlenül észrevettem, hogy az amerikai oldalon található leírás róla. Na de mit keresne egy európai vagy épp tajvani felhasználó az usa oldalon?! Szóval az amerikai oldalukon 2db firmware verzió érhető el. Az egyik egy 2017-es, a legutolsó pedig 2018. április 30-i, melyben néhány 2017-es sebezhetőséget és 3db 2018-ast foltoztak. A legutolsó kritikus hiba amit javítottak a CVE-2018-8826, melyet 2018. április 20-án publikáltak. 30-án lett elérhető a frissítés. Az előzőket inkább már megsem néztem mikoriak mert innentől kezdve felesleges. Azóta pedig semmi, pedig például a legelején is említett CVE-2019-15126 alias Kr00k hibában ezek az eszközök úgyszintén érintettek. Valószínűleg már soha nem kapnak javítást. Jó esetben így épül a zombihálózat meg a kriptobányász telepek. Rossz esetben szétlopják a te vagy a céged adatait. Indiában legutolsó ismert ára 40USD, e-bayen még kaphtó 47 dolcsiért. + itt-ott elfekvőben használtan.
Kíváncsiság képpen ránéztem néhány másik eszközükre is. Nevetséges.
Ettől a ponttól kezdve úgy gondolom ilvánvaló, hogy ASUS és a hozzá hasonlók nagyiparilag gyártják a szemetet közel nulla támogatással. Vonatkozik az a megállapításom a közelmúltban látott notebookjaikra is.
D-Link egy fokkal rosszabb, mert ők még ennyi hibajavítást sem tesznek közzé.
TP-Linket nem néztem de van egy tippem, hogy ASUS-ékhoz hasonló lesz az eredmény, talán egy fokkal felelősségtudasabb gyártó.
Megy a hype, megy a drága reklám. Emiatt drágák a "prémium" eszközeik nem pedig azért mert mert valóban olyan jók. Technológiailag egyébként lehetnének jó megmozdulásaik, bár 99%-ban már meglévő technológiákat használnak, melyeket a SoC-al együtt készen kapnak és esetleg kapsz egy csilli-villi guit még pluszban a pénzedért meg jó kis propaganda anyagokat, néhány "kényelmi" funkciót. De amikor baj van, akkor a userek ott vannak hagyva egyedül a drága eszközükkel a sz*rban.
Ami pedig a mobilalkalmazást illeti: tökéletesen megfelelő, szinte teljes mértékben kiváltja az asztali vagy webes klienseket, egyszerre több eszközt is tudsz konfigurálni vagy monitorozni és a háttérben is futhat folyamatosan.
Csak egy apró kérdés a végére: melyik ASUS wifi router képes spektrum-analizátor módban működni?