'Linksys Velop-routers versturen wifi-wachtwoord in plaintext naar server in VS'
Twee type Linksys-routers versturen inloggegevens voor het wifi-netwerk in plaintext naar Amerikaanse Amazon-servers, zo stelt Testaankoop, de Belgische tegenhanger van de Consumentenbond. Het gaat om de Linksys Velop Pro 6E en Velop Pro 7, twee mesh-routers.
"Tijdens de installatie verzond de router verschillende gegevenspakketten naar een server van Amazon in de VS. Deze pakketten bevatten de geconfigureerde SSID-naam en -wachtwoord in gewone tekst, en ook enkele identificatietokens voor dit netwerk binnen een bredere database én een toegangstoken voor een gebruikerssessie die mogelijk een MITM-aanval (man-in-the-middle-aanval) mogelijk zou kunnen maken", aldus Test-Aankoop.
De consumentenorganisatie meldt dat de routers op het moment van de test over de meest recente firmware beschikten. Testaankoop waarschuwde Linksys vorig jaar november, maar naar eigen zeggen zonder succes. Er verscheen in de maanden na de waarschuwing wel een firmware-update, alleen die blijkt het probleem niet op te lossen.
Testaankoop vermoedt dat het beveiligingsprobleem wordt veroorzaakt door third-party software waar de Linksys-firmware gebruik van maakt. "Maar dat rechtvaardigt het niet", zo laat de consumentenorganisatie verder weten. Die raadt het 'ten zeerste af' om de Linksys-routers te kopen. "Omdat er een ernstig risico is op netwerkinbraak en gegevensverlies. We betreuren het gebrek aan reactie van Linkys en hadden meer verwacht van zo'n gerenommeerd merk."
Mensen die de betreffende routers al in bezit hebben wordt aangeraden om de naam van het wifi-netwerk en het bijbehorende wachtwoord via de webinterface aan te passen in plaats van met de app. "Hiermee voorkom je dat je wifi-netwerknaam en wachtwoord in leesbare tekst worden gedeeld", aldus Testaankoop.
Wellicht niet in plaintext, maar uiteindelijk komt het natuurlijk wel ergens te staan waar het ofwel plaintext is ofwel met een te achterhalen key versleuteld.
Dit is bedoeld om "makkelijk je WiFi te delen met een vriend", maar als je dat niet wilt moet je vaak nog opletten dat je die optie uit zet.
Ben het niet geheel met je statement oneens, in het licht dat men objectief moet kijken naar diensten en producten.
Echter is LinkSys al een aantal jaar niet echt meer Amerikaans en is Linkysys onderdeel van het Chineese/Taiwanese Hon Hai / Foxconn ;)
Dan moet er al een zware supply chain aanval geweest zijn voordat dat te claimen valt.
Dan moet er al een zware supply chain aanval geweest zijn voordat dat te claimen valt.
Het enige amerikaans in het verhaal is dat het naar een amazon datacenter gaat.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!