Un router Wi-Fi economico, bestseller su Temu, è finito al centro di un’analisi di sicurezza che ha messo in evidenza vulnerabilità potenzialmente gravi. Il caso non riguarda solo un singolo dispositivo: è il segnale di un problema sistemico che tocca milioni di utenti che si affidano a dispositivi di rete acquistati su marketplace globali senza troppa attenzione alla cybersecurity.
In questo articolo analizziamo cosa è emerso, perché i router economici sono bersagli privilegiati, quali rischi concreti comportano e — soprattutto — come puoi proteggerti subito.
🔍 Cosa è Emerso sull’Analisi del Router Temu
Secondo quanto riportato dalla stampa italiana (EPG Italia / MSN, 3 marzo 2026), un router venduto come bestseller su Temu sarebbe stato oggetto di analisi di sicurezza che hanno rilevato:
- Impostazioni di default insicure
- Credenziali di accesso facilmente prevedibili (es. admin/admin)
- Firmware non aggiornato e privo di patch di sicurezza regolari
- Pannelli di amministrazione potenzialmente accessibili da remoto senza adeguate protezioni
- Porte di rete aperte inutilmente esposte su internet
Va precisato che le fonti italiane disponibili non nominano il modello specifico del dispositivo né citano un report tecnico primario con CVE numerato. Tuttavia, il quadro descritto è coerente con vulnerabilità documentate da ricercatori indipendenti su router di fascia economica.
⚠️ Il Contesto: Vulnerabilità Reali e Documentate nei Router Economici
Non si tratta di un fenomeno isolato. I ricercatori di sicurezza hanno documentato vulnerabilità critiche in numerosi modelli di router economici, spesso di provenienza cinese:
CVE-2025-7850 e CVE-2025-7851 (TP-Link Omada/Festa VPN)
Forescout Research – Vedere Labs ha pubblicato nell’ottobre 2025 un report su due vulnerabilità critiche nei router TP-Link Omada ER605v2. La prima (CVE-2025-7850, CVSS 9.3) consente l’iniezione di comandi OS tramite le impostazioni WireGuard VPN, sfruttabile anche senza credenziali in alcune configurazioni. La seconda (CVE-2025-7851, CVSS 8.7) permette accesso root non autorizzato tramite codice di debug residuo lasciato da una patch incompleta. TP-Link ha rilasciato aggiornamenti firmware per entrambe le vulnerabilità.
CVE-2023-50224 e CVE-2025-9377 (TP-Link TL-WR841N, Archer C7)
La CISA (Cybersecurity and Infrastructure Security Agency) americana ha inserito nel settembre 2025 queste due vulnerabilità nel catalogo ufficiale delle falle attivamente sfruttate (KEV). Il botnet Quad7 — usato da attori statali cinesi — le ha sfruttate per trasformare router domestici in proxy per attacchi mascherati da traffico legittimo.
“Horse Shell”: l’impianto firmware di un APT cinese
Check Point Research ha scoperto e documentato un impianto firmware malevolo chiamato “Horse Shell”, installato su router TP-Link e attribuito al gruppo APT cinese “Camaro Dragon” (con sovrapposizioni con Mustang Panda). L’impianto permetteva il pieno controllo del dispositivo, restando invisibile all’utente.
🎯 Perché i Router Economici dei Marketplace Sono Bersagli Privilegiati
I marketplace globali come Temu, AliExpress o Amazon permettono a brand poco noti di raggiungere milioni di utenti. Come spiega F-Secure, i router più venduti sono anche quelli più bersagliati dagli hacker: la loro diffusione li rende un obiettivo ad alto rendimento.
I problemi strutturali dei router ultra-economici includono:
- Firmware generico, spesso condiviso tra più brand con vulnerabilità note e mai corrette
- Assenza di un canale ufficiale per aggiornamenti di sicurezza
- Credenziali di default identiche per milioni di dispositivi (admin/admin)
- Pannelli di gestione remota attivi per impostazione predefinita
- Nessuna verifica della supply chain: il firmware può essere modificato prima della spedizione
- Fine del supporto rapido (o immediato) senza notifica all’utente
Un esperto citato da Cybernews ha sintetizzato il concetto con una metafora efficace: aggiungere un firewall a un router compromesso equivale a mettere un lucchetto sulla porta d’ingresso quando la porta sul retro è spalancata.
💥 Cosa Può Fare un Attaccante con il Tuo Router
Il router è il cuore della rete domestica: tutta la connettività di smartphone, PC, smart TV, videocamere di sorveglianza e dispositivi IoT passa attraverso di esso. Un router compromesso può essere usato per:
- DNS hijacking: le tue richieste di navigazione vengono dirottate verso siti malevoli che clonano banche, servizi email o e-commerce per rubare credenziali
- Intercettazione del traffico non cifrato
- Installazione di malware sui dispositivi connessi
- Inclusione del router in una botnet per attacchi DDoS o proxying di traffico criminale
- Accesso remoto persistente e invisibile alla rete domestica
Nella maggior parte dei casi, l’utente non nota nulla di anomalo. Il dispositivo continua a funzionare normalmente mentre viene sfruttato in background.
🛡️ Come Proteggersi Subito: Lista Pratica per il Maker
Ecco le azioni concrete da eseguire, ordinate per priorità:
1. Cambia subito le credenziali di default
Accedi al pannello del router (di solito 192.168.1.1 o 192.168.0.1) e sostituisci username e password con credenziali robuste. Usa almeno 16 caratteri con maiuscole, numeri e simboli. Non usare mai admin/admin o varianti simili.
2. Aggiorna il firmware
Controlla se il produttore del tuo router offre aggiornamenti firmware sul proprio sito ufficiale. Se non esistono aggiornamenti disponibili o il produttore è sconosciuto, considera seriamente la sostituzione.
3. Disabilita la gestione remota
Accedi alle impostazioni del router e disattiva qualsiasi opzione di accesso remoto o WAN management. Non ti serve, e ogni giorno che rimane attiva è una porta aperta per chiunque abbia l’indirizzo IP del tuo router.
4. Disabilita UPnP e WPS
Universal Plug and Play (UPnP) consente ai dispositivi di aprire automaticamente porte sul router — un meccanismo spesso sfruttato da malware. WPS è un protocollo di pairing Wi-Fi con vulnerabilità note: disattivalo se non lo usi.
5. Usa WPA3 o WPA2 con password robusta
Assicurati che la rete Wi-Fi usi WPA3 (preferibile) o WPA2 con una passphrase lunga e casuale. Evita WPA e WEP, che sono protocolli obsoleti e insicuri.
6. Controlla se il tuo router è già compromesso
Puoi usare F-Secure Router Checker (gratuito, online) per verificare se i tuoi DNS sono stati alterati. Accedi anche al pannello del router e controlla manualmente i server DNS impostati: se non corrispondono a quelli del tuo ISP o a DNS noti (8.8.8.8, 1.1.1.1), potresti essere compromesso.7. Valuta la sostituzione del dispositivo.
7. Valuta la sostituzione del dispositivo
Se il router è stato acquistato su un marketplace a meno di 20€ da un brand sconosciuto, non dispone di aggiornamenti firmware certificati e non ha un supporto attivo, la scelta più sicura è sostituirlo con un modello di brand riconosciuto (TP-Link con firmware aggiornato, ASUS, Netgear, Ubiquiti). Per chi vuole il massimo controllo: considera soluzioni come OpenWRT su hardware compatibile, o soluzioni prosumer come Ubiquiti UniFi.
🌐 Il Problema Sistemico dell’E-Commerce Globale
Il caso del router Temu evidenzia una questione che va oltre il singolo dispositivo. I marketplace globali permettono a produttori senza vincoli regolatori severi di vendere direttamente a consumatori europei e italiani. I controlli sulla sicurezza software dei dispositivi di rete non sono obbligatori né uniformi.
La responsabilità si distribuisce tra produttori, piattaforme e utenti. Ma nella pratica quotidiana, l’anello più debole — e l’unico che può agire subito — sei tu. Investire 5 minuti per mettere in sicurezza il router equivale a chiudere la porta principale della tua casa digitale.
🚀 Conclusione: La Sicurezza Non È un Optional
Un router non è un semplice accessorio da pochi euro: è l’infrastruttura attraverso cui passano le tue password, i tuoi pagamenti, le tue videochiamate, i tuoi dati IoT. Prima di scegliere in base al prezzo, vale la pena considerare: chi è il produttore? Esistono aggiornamenti firmware? C’è un supporto attivo?
Il caso del router bestseller su Temu è un campanello d’allarme che riguarda tutti. Nel mondo dell’e-commerce globale, la sicurezza informatica non parte da chi vende il dispositivo — parte da chi lo configura.