Linksys Velop yönlendiricileri, Wi‑Fi şifrelerini düz metin olarak ABD'deki sunuculara gönderiyor

 (stackdiary.com)
2 puan yazan GN⁺ 2024-07-10 | 2 yorum | WhatsApp'ta paylaş

Linksys Velop yönlendiricileri, Wi‑Fi şifrelerini düz metin olarak ABD'deki sunuculara gönderiyor

  • Testaankoop'un bulgusu

    • Belçika tüketici derneği Testaankoop'a göre Linksys Velop Pro 6E ve Velop Pro 7 mesh yönlendiricileri, Wi‑Fi oturum açma bilgilerini düz metin olarak Amazon (AWS) sunucularına gönderiyor
    • Kurulum sürecinde SSID adı, şifre, ağ kimlik belirteci ve kullanıcı oturumu erişim belirtecini içeren veri paketlerinin AWS sunucularına gönderildiği tespit edildi

  • MITM saldırısı ihtimali

    • MITM (ortadaki adam saldırısı), saldırganın yönlendirici ile sunucu arasındaki iletişimi ele geçirdiği bir güvenlik ihlalidir
    • Saldırganlar düz metin olarak iletilen SSID ve şifreyi ele geçirerek ağa yetkisiz erişim sağlayabilir

  • Firmware güncellemesi ve müdahale

    • Testaankoop testleri en güncel firmware ile gerçekleştirdi, ancak Linksys sorunu çözemedi
    • Linksys ilk uyarının ardından bir firmware güncellemesi dağıttı, ancak sorun hâlâ giderilmiş değil

  • Üçüncü taraf yazılım şüphesi

    • Testaankoop, bu güvenlik sorununun Linksys firmware'inde kullanılan üçüncü taraf bir yazılımdan kaynaklanmış olabileceğini öne sürüyor
    • Ancak bu durum güvenlik açığını haklı çıkarmaz

  • Kullanıcılara öneriler

    • Etkilenen yönlendiricilere sahip kullanıcılara, Wi‑Fi ağ adı ve şifresini uygulama yerine web arayüzü üzerinden değiştirmeleri öneriliyor
    • Bu, SSID ve şifrenin düz metin olarak gönderilmesini önlüyor

  • Mesh yönlendiricilerde güvenlik sorunu

    • Velop serisi, büyük veya çok katlı evlerde Wi‑Fi dağıtımını iyileştirmek için tasarlandı
    • Ancak Velop Pro WiFi 6E ve Pro 7'nin veri iletim yöntemi bu güvenlik avantajlarını zedeliyor

  • Linksys'in yetersiz yanıtı

    • Testaankoop, bugünkü duyurudan birkaç gün önce Linksys ile yeniden iletişime geçti, ancak hâlâ bir yanıt ya da çözüm almadı
    • Güvenlik açığı en yeni Linksys 7 Pro modelinde de sürüyor

  • Satın alma tavsiyesi

    • Araştırmacılar, ağ ihlali ve veri kaybı riskinin ciddiyeti nedeniyle Linksys Velop Pro WiFi 6E ve Pro 7'nin satın alınmasını kesin biçimde önermiyor

  • Güvenlik sorununun ciddiyeti

    • Ağa sızmak teknik çaba gerektirse de saldırgan içeri girdikten sonra geniş çaplı zarar verebilir
    • Linksys, Velop ürün ailesini küçük ofislere de önerdiği için sorun hem kişisel hem de profesyonel ortamlarda önem taşıyor

GN⁺ Özeti

  • Linksys Velop yönlendiricileri, Wi‑Fi şifrelerini düz metin olarak göndererek ciddi bir güvenlik açığı ortaya çıkarıyor
  • MITM saldırısı ihtimali nedeniyle ağa izinsiz giriş ve veri kaybı riski yüksek
  • Testaankoop, Linksys'in yetersiz müdahalesine dikkat çekerek bu yönlendiricilerin satın alınmasını önermiyor
  • Haber, ağ güvenliğinin önemini vurgularken kullanıcılara güvenlik ayarlarını değiştirmelerini tavsiye ediyor

İlgili okumalar

2 yorum

 
halfenif 2024-07-11

Destek görevlilerinin şifresini unutan kullanıcılara yardımcı olabilmesi için yapıldığı bahanesi

Ah...
 
GN⁺ 2024-07-10
Hacker News görüşleri
  • Parolanın sunucuya gönderilmesine herkesin gerçekten razı olup olmadığını sorguluyor
  • Verizon FiOS yönlendiricisinin TR-69 mekanizması üzerinden yerel WiFi parolasını merkezi yönetim sistemine gönderdiği belirtiliyor
    • Bunun, parolasını unutan kullanıcılara destek görevlilerinin yardımcı olabilmesi için olduğu bahanesi öne sürülüyor
  • Parolanın gerçekten düz metin olup olmadığını, yoksa HTTPS içindeki düz metin mi olduğunu merak ediyor
    • Web uygulaması oturum açmalarında parolanın HTTPS isteği içinde düz metin olarak gönderilmesi yaygındır
    • HTTPS yoksa, isteğe düz metin parola koymanın ötesinde çok daha fazla sorun ortaya çıkar
    • HTTPS varsa, sorunun parolaın yerelde kalmayıp gönderilmesi olduğu belirtiliyor
  • WiFi yönlendirici OEM'lerinin OpenWRT kullanması gerektiğini savunan görüşler var
    • OpenWRT açık kaynaklıdır ve iyi çalışır
    • Ürün farklılaştırması için daha fazla anten eklemek veya hızı artırmak gibi yöntemler kullanılabilir
  • Tüketici test kuruluşunun böyle bir teknik uzmanlığa sahip olmasından etkilendiğini söylüyor
    • Bu, bir tüketici gibi kullanarak bulunabilecek bir sorun değil
    • Güvenlik açığını bulmak için özellikle çaba göstermek gerekiyor
  • Bunun yalnızca Velop serisiyle sınırlı olmadığı belirtiliyor
    • EA7500'ü OpenWRT'ye dönüştürürken aynı bilginin gönderildiğini fark ettiğini söylüyor
    • mylinksys web portalı üzerinden oturum açmaya zorladığını ve ev sunucusuyla bağlantı kurmaya çalıştığını belirtiyor
  • Apple'ın yeniden WiFi yönlendirici işine girmesini isteyen görüşler var
    • Apple'ın gizlilik/güvenlik yaklaşımına diğer markalardan daha fazla güvendiğini söylüyor
    • Şu anda yerine Linksys yönlendiricileri satıyor
  • Linksys'in kasım ayında uyarıldığı ama etkili bir önlem alınmadığı belirtiliyor
    • Kasım ayından sonra da yanıt gelmemesinin kötü niyetli olduğu, tüm şirketin cezalandırılması gerektiği söyleniyor
  • Tüketicilerin ağ ekipmanı üreticilerinden daha iyi ürünleri hak ettiği vurgulanıyor
    • Apple'ın pazara geri dönüp pahalı ama kaliteli ürünler sunmasını isteyen görüşler var