De Britse internetprovider Sky heeft zo'n anderhalf jaar nodig gehad om een kwetsbaarheid te verhelpen waardoor zes miljoen breedbandrouters op afstand konden worden overgenomen. De apparaten waren kwetsbaar voor dns rebinding. Dit is een techniek waardoor een aanvaller de same-origin policy van de browser kan omzeilen en toegang kan krijgen tot apparaten op het lokale netwerk van de gebruiker.
Door het bezoeken van een malafide website of het openen van een malafide link was het mogelijk voor aanvallers om toegang tot de door Sky gebruikte breedbandrouters te krijgen. De routers zijn van een standaardwachtwoord voorzien. In het geval gebruikers dit wachtwoord hadden gewijzigd was het nog steeds mogelijk geweest om via een bruteforce-aanval binnen te dringen.
Sky werd op 11 mei 2020 door securitybedrijf Pen Test Partners over de kwetsbaarheid ingelicht. De provider liet weten dat het in november van dat jaar met een update zou komen. Vervolgens werd de uitrol naar december verplaatst. Ook die periode werd niet gehaald waarop begin 2021 als nieuwe tijdslijn werd genoemd. Eind januari van dit jaar meldde Sky aan het securitybedrijf dat de patch in april 2021 zou verschijnen.
In mei maakte de provider bekend dat de helft van de kwetsbare routers was geüpdatet. De overige drie miljoen apparaten zouden in de zomer een update ontvangen. Pas eind oktober liet Sky weten dat 99 procent van de routers was gepatcht. Bijna anderhalf jaar na de melding. De resterende één procent is niet door Sky zelf gemaakt. Klanten die een dergelijke router hebben kunnen kosteloos een nieuw apparaat aanvragen. In onderstaande video wordt de kwetsbaarheid gedemonstreerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.