Edimax wifi-versterkers kunnen wifi-wachtwoord lekken
Wifi-versterkers van fabrikant Edimax die ook in Nederland worden verkocht bevatten verschillende kwetsbaarheden waardoor ze het opgeslagen wifi-wachtwoord kunnen lekken, zo waarschuwen beveiligingsonderzoekers. Het gaat om de Edimax Wi-Fi Extender EW-7438RPn Mini en de EW-7238RPD.
Een aanvaller die het slachtoffer naar een kwaadaardige website weet te lokken kan het wachtwoord stelen. Voorwaarde is wel dat gebruikers het wachtwoord van de wifi-versterker in hun browser hebben opgeslagen. Dat laat het Britse beveiligingsbedrijf Pen Test Partners weten. Voor het uitvoeren van de aanval maakten de onderzoekers van verschillende kwetsbaarheden gebruik, zoals cross-site scripting (xss) en cross-site request forgery (xsrf). Edimax heeft geen maatregelen genomen om deze kwetsbaarheden tegen te gaan.
De onderzoekers adviseren de fabrikant dan ook om maatregelen tegen xsrf en xss te nemen. Daarnaast moet het wachtwoord niet in de webinterface worden getoond, zo stellen ze. "En zorg ervoor dat cryptografisch gesigneerde updates automatisch worden gedownload en geïnstalleerd", aldus de oproep van de onderzoekers aan Edimax en andere fabrikanten. Edimax werd eind augustus vorig jaar over de problemen ingelicht, maar de onderzoekers hebben nooit een reactie ontvangen of en wanneer een update gereed zou zijn.
Zou het er mee te maken hebben dat die dingen GPL broncode gebruiken?
Euw, premium merken als Netgear, Cisco en Asus hebben ook zo hun schaamplekjes en reageren niet altijd erg enthousiast op disclosures. De meerprijs leidt niet per se tot betere software.
"...the GPL clearly explains that there is no warranty for this free software"
Dát is lekker goedkoop in de markt zetten!
Als je het mij vraagt, is Edimax dus niet verplicht om GPL-software te verbeteren.
Een update zal meestal uit de community of van de oorspronkeijke fw-maker moeten komen.
(Netgear hakt trouwens ook met dat bijltje bij veel van zijn producten)
Wat doet men toch altijd moeilijk...
Dan hebben we het nog niet eens over de gezondheidsrisico's die met versterkers uiteraard nog toenemen.
Troll...troll... troll...
Troll...troll... troll...
Verklaar je nader. (tenzij je zelf een troll bent)
Ga de downloads voor dat Edimax apparaatje maar eens opzoeken. Mag je de GPL source downloaden!
En https://www.gnu.org/licenses/gpl.html
"...the GPL clearly explains that there is no warranty for this free software"
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
