Bendrovės „D-Link“ maršrutizatoriuose kompiuterių saugumo ekspertai aptiko vadinamąsias „užpakalines duris“ (backdoor) – programinės įrangos gamintojų paliktą saugumo spragą, leidžiančią nuotoliniu būdu be slaptažodžio per „Wi-Fi“ ryšį prisijungti prie įrenginio nustatymų keitimo sąsajos.
Apie tokią „D-Link“ maršrutizatorių savybę pranešė JAV bendrovės „Tactical Network Solutions“ saugumo ekspertas Craigas Heffneris. „D-Link“ atstovai jau pranešė pateiksiantys savo maršrutizatorių vartotojams jų valdymo programos (firmware) atnaujinimą, kuriame ši landa bus užtaisyta. Tai, be abejo, gera žinia, tačiau kur kas liūdniau skamba C. Heffnerio prielaida, jog „atsarginis įėjimas“ „D-Link“ maršrutizatoriuose buvo paliktas tyčia, tai yra, su gamintojo atstovų žinia.
Pranešama, kad minėtoji saugumo spraga aptikta „D-Link“ DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 ir, greičiausiai, DIR-615 maršrutizatorių modeliuose. Bendrovė „D-Link“ yra viena didžiausių tinklo įrangos gamintojų, o jos maršrutizatoriai, skirti namų vartotojams, yra gana populiarūs.
Paaiškėjo, kad prie minėtųjų „D-Link“ maršrutizatorių galima nesankcionuotai prisijungti per WWW sąsają, jei prisijungimo metu „User_Agent“ bus priskirta reikšmė «xmlset_roodkcableoj28840ybtide». Tokiu atveju įsilaužėliui nereikės nei prisijungimo vardo, nei slaptažodžio: jis galės pamatyti ir panorėjęs pakeisti maršrutizatoriaus nustatymus.
C. Heffneris pastebėjo, kad jei minėtosios reikšmės raidės būtų skaitomos atvirkščiai, iš dešinės į kairę, būtų gauta frazė «edit by 04882 joel backdoor». Tai, kad firminėje „D-Link“ maršrutizatorių programinėje įrangoje aiškiai kalbama apie užpakalinį įėjimą (backdoor), eksperto manymu liudija, kad ši saugumo spraga joje buvo palikta tyčia. Tiesa, jam atrodo, kad tai buvo padaryta ne šnipinėjimo tikslais.
Ekspertas linkęs manyti, kad šis atsarginis įėjimas buvo paliktas dėl to, kad kai kurios programos ir procesai galėtų gauti prieigą prie „D-Link“ maršrutizatorių automatiniam nustatymui keitimui, netgi ir tuo atveju, jei įrenginį įsigijęs vartotojas pakeis standartinį prisijungimo vardą ir slaptažodį.
„D-Link“ atstovai pareiškė, kad spalio mėnesio pabaigoje išleis atnaujintą savo maršrutizatorių valdymo programinės įrangos versiją, kurioje ši spraga bus pašalinta. Jie nekomentavo, ar ši spraga buvo palikta tyčia, ir jei taip, tai kokiais tikslais, ar per neapsižiūrėjimą.