Duitse beveiligingsonderzoekers concluderen dat vrijwel alle routers voor thuisgebruik die zij hebben bestudeerd niet up-to-date zijn. De onderzoekers keken naar 127 routers en vonden overal verouderde software, ontbrekende securitypatches en simpele beveiligingsfouten.
Het onderzoek werd uitgevoerd door het Duitse Fraunhofer Instituut voor Communicatie, Informatieverwerking en Ergonomie. De onderzoekers bekeken 127 routers van bekende merken, zoals Asus, Zyxel en TP-Link, die bedoeld waren voor thuisgebruik. Het ging daarbij expliciet om routers die door oem's worden geleverd; routers waar providers hun eigen firmware op plaatsen vallen er niet onder.
De onderzoekers concluderen dat geen enkele van de 127 routers echt goed beveiligd is. De problemen verschillen. In veel gevallen gaat het om beveiligingsupdates die niet worden doorgevoerd, maar soms ook om bekende beveiligingslekken. De onderzoekers zagen dat 46 routers al meer dan een jaar geen beveiligingsupdate meer hadden gehad. In 22 gevallen was dat zelfs meer dan twee jaar. Een router had zelfs al vijf jaar geen updates meer gekregen.
In sommige gevallen werden wel beveiligingsupdates doorgevoerd, maar repareerden die niet alle kwetsbaarheden. Ook gebruikt meer dan negentig procent van de routers volgens de onderzoekers firmware op basis van Linux, maar werd de kernel daarvan niet bijgewerkt, waardoor kwetsbaarheden alsnog in de routers blijven zitten. Het merendeel van de devices draait nog op kernelversie 2.6, die al jaren niet meer wordt bijgewerkt.
Andere problemen zijn standaardwachtwoorden die gemakkelijk te raden of te kraken zijn, en privésleutels die hard coded in de firmware staan. De onderzoekers concluderen dat AVM in de meeste gevallen het best is in het doorvoeren van beveiligingsoplossingen. Asus en Netgear zijn daar iets minder goed in, maar 'in sommige gevallen beter dan D-Link, Linksys, TP-Link en Zyxel', schrijven de onderzoekers.
Update: toegevoegd dat het alleen om oem-routers gaat en niet om isp-routers met custom firmware.