Linksys Velop yönlendiricileri Wi‑Fi parolalarını düz metin olarak ABD sunucularına gönderiyor
(stackdiary.com)- Belçikalı tüketici kuruluşu Testaankoop, Linksys Velop Pro 6E ve Velop Pro 7 mesh yönlendiricilerinin Wi‑Fi oturum açma bilgilerini düz metin olarak ABD’deki AWS sunucularına gönderdiğini açıkladı
- Kurulum denetimi sırasında gönderilen paketlerde yapılandırılmış SSID ve parola, ağ tanımlama belirteci ve kullanıcı oturumu için erişim belirteci yer aldı
- Testler o dönemdeki en güncel firmware ile yapıldı; Linksys, Kasım 2023’teki uyarının ardından firmware güncellemesi yayımlasa da sorun çözülmedi
- Etkilenen kullanıcılar, uygulama yerine web arayüzü üzerinden Wi‑Fi ağ adını ve parolasını değiştirerek okunabilir metin aktarımını engelleyebilir
- Testaankoop, ilgili modellerin satın alınmasını kesinlikle önermedi; Velop ürün ailesinin küçük ofisler için de tavsiye edilmesi nedeniyle hem kişisel hem de iş ortamları açısından endişe söz konusu
Düz metin aktarımı doğrulanan Velop modelleri
- Belçikalı tüketici kuruluşu Testaankoop, iki Linksys yönlendirici modelinin Wi‑Fi oturum açma bilgilerini düz metin olarak Amazon AWS sunucularına gönderdiğini doğruladı
- Söz konusu modeller Linksys Velop Pro 6E ve Velop Pro 7 mesh yönlendiricileri
- Rutin bir kurulum denetimi sırasında ABD’deki AWS sunucusuna birden fazla veri paketinin gönderildiği tespit edildi
- Paketlerde yapılandırılmış SSID adı ve parola düz metin olarak bulunuyordu
- Daha büyük bir veritabanı içinde ağı tanımlayan bir belirteç de yer alıyordu
- Kullanıcı oturumu için erişim belirteci de birlikte gönderiliyordu
- Bu aktarım yöntemi ortadaki adam saldırısı (MITM) olasılığını artırabilir
- Bir saldırgan Linksys yönlendirici ile Amazon sunucusu arasındaki iletişimi ele geçirirse, düz metin olarak gönderilen SSID ve parolayı yakalayabilir
- Ağ adını ve parolayı okuma veya değiştirme ve ağa yetkisiz erişim riski ortaya çıkar
Firmware durumu ve kullanıcıların alabileceği önlem
- Testaankoop, test sırasında kullanılabilen en güncel firmware ile inceleme yaptı
- Velop 6E birkaç kez test edildi; son test
V 1.0.8 MX6200_1.0.8.215731firmware’iyle gerçekleştirildi - Yeni Velop Pro 7 ise
1.0.10.215314firmware’iyle test edildi
- Velop 6E birkaç kez test edildi; son test
- Linksys, Kasım 2023’teki ilk uyarının ardından firmware güncellemesi yayımladı ancak Testaankoop’un dile getirdiği endişeler giderilmedi
- Güvenlik sorunu, Linksys firmware’inde kullanılan üçüncü taraf yazılımdan kaynaklanmış olabilir; ancak Testaankoop bunun açığı haklı çıkarmayacağı görüşünde
- Bu yönlendiricilere halihazırda sahip olan kullanıcılara, uygulama yerine web arayüzü üzerinden Wi‑Fi ağ adını ve parolasını değiştirmeleri öneriliyor
- Bu önlem, SSID adı ve parolanın okunabilir metin olarak gönderilmesini önlemeye yönelik bir tedbirdir
Linksys’in yanıtı ve satın alma tavsiyesi
- Testaankoop, yayımdan birkaç gün önce Linksys ile tekrar iletişime geçerek kısa bir yanıt fırsatı verdi, ancak üreticiden bir doğrulama ya da çözüm alamadı
- Stack Diary de 9 Temmuz’da Linksys’e yanıt planını sordu; 14 Temmuz itibarıyla yanıt alamadı
- Uzun testlerin ardından Testaankoop, Linksys Velop Pro WiFi 6E ve Pro 7’nin satın alınmasını kesinlikle önermediği ve ağa sızma ile veri kaybı riskinin ciddi olduğu sonucuna vardı
- Velop serisi gibi mesh yönlendiriciler, birden çok bağlantı düğümüyle geniş veya çok katlı evlerde Wi‑Fi dağıtımını iyileştirmek için tasarlansa da Velop Pro WiFi 6E ve Pro 7’nin veri aktarım yöntemi, sunması gereken güvenlik avantajlarını zayıflatıyor
2 yorum
Destek personelinin parolasını unutan kullanıcılara yardımcı olabilmesi için olduğu bahanesi
Hacker News yorumları
Bu yorumları okuyunca, herkes parolanın sunucuya gönderilmesini sorun etmiyor da yalnızca şifreleme olmamasını mı sorun olarak görüyor?
En başta parolanın sunucuya gönderilmesini beklemezdim
Böyle bir şey yapan yönlendirici amacına uygun bir ürün değildir; zaten Linksys yönlendiricilerini birkaç yıldır genel olarak kullanılabilir ürünler olarak görmüyordum
Düz metin kolayca gözlemlenir ve insanlar bunu fark edebilir, bu da PR açısından darbe yaratabilir; şifreli bir parolanın izini sürmekse fiilen zordur
TR-69 mekanizması üzerinden Verizon FiOS yönlendiricileri yerel WiFi parolasını merkezi yönetim sistemine gönderiyor.
Duyduğum bahane şuydu: “Parolasını unutan kullanıcılara destek personelinin yardımcı olabilmesi için” :-/
Ayrıca, sağlayıcının uygulamasından sağlanan ekipmanın parolasını değiştirebiliyorsanız, yüksek ihtimalle o parola en azından TCP/TLS paketlerinin içinde düz metin olarak gidip geliyordur
Eskiden beri operatörün verdiği yönlendiriciyi kullanmama alışkanlığım olduğu için kendimi şanslı hissediyorum
Sonra yönlendiriciye giriş yapıp yeni parolayı ayarlamak yeterliydi
Ben bir internet servis sağlayıcısı olsam ve WiFi parolasıyla ilgili çok fazla destek talebi alsam, WPS’i daha fazla kullanmayı düşünürdüm
Yönlendirici sektörünün kararlı yerel ağ ekipmanları yerine akıllı cihazlara dönüşmesi trendinden gerçekten nefret ediyorum.
Diğer sektörlerde gördüğümüz müşteri sömürüsü burada da aynen yaşanıyor. Örneğin TP Link, Roku gibi şirketler gibi yönlendiricide dark pattern’lar kullanıyor; hizmet şartlarını güncelledikten sonra uygulamayı kullanmak için pop-up’ta kabul etmeye zorluyor.
Uygulama, yönlendirici ayarlarının çoğuna erişmenin tek yolu; eskiden olduğu gibi parola korumalı bir web sayfasına girip ayar yapma yönteminden farklı. Yeni şartları kabul etmezseniz, şimdiye kadar kontrol ettiğiniz yönlendiriciyi artık kontrol edemiyorsunuz.
Üstelik uygulama içinde, menü öğelerinin veya kullanıcı arayüzü unsurlarının yanındaki kırmızı dairesel rozetler gibi yönlendirmelerle işe yaramaz ve istenmeyen hizmet denemeleri sürekli dayatılıyor.
Linksys’te olduğu gibi kişisel bilgilerimi ve güvenliğimi kötüye kullanmalarına imkân veren şartlar bulunmasına şaşırmam.
Peki nereye gideceğiz? Tüm şirketler bunu yapıyor. Belki de bu olmadan hayatta kalamıyorlardır. Bu yüzden güvenlik ihlallerinde sorumluluk, hizmet şartları suistimaline sınırlama gibi düzenlemelere ihtiyaç var gibi görünüyor
Bu gerçekten düz metin mi, yoksa HTTPS içindeki düz metin mi? Yazı ve kaynak materyal bunu söylemiyor.
Parolanın HTTPS isteği içinde “düz metin” olması oldukça yaygındır. Neredeyse tüm web uygulaması girişleri böyle çalışır.
HTTPS değilse, isteğin içine düz metin parola koymanın dışında da bir sürü sorun vardır.
HTTPS ise asıl sorun parolanın yerelde kalmayıp bir yerlere gönderilmesidir. Bu uygulama çok daha tartışmalıdır ama ne yazık ki birçok yönlendiricinin bulut/uygulama yönetimi özelliklerini desteklemek için sıkça yaptığı bir şeydir
Şu an aklıma gelen tek nedenler, mesh yapılandırması için ikinci cihazı daha “otomatik” kurmak ya da fabrika ayarlarına döndükten sonra da aynı parolayı kullandırmak. İkisinin de daha iyi çözümleri var.
Yeni parola ayarlanacaksa mevcut parolanın neden gerektiğini anlamıyorum; uzaktan yönetim erişim kimlik bilgisi olarak WiFi parolası kullanılıyorsa, ağ erişim yetkim aynı zamanda yönetim yetkisi haline gelmemeli, bu yüzden kötü.
Gerçekten gerekiyorsa, yeterince salt eklenip hash’lenmiş parolayı göndermek gibi çok daha iyi bir yöntem uygulanabilir
Linksys sunucu sertifikasının özel anahtarına erişilebilseydi bu çok daha büyük bir haber olurdu
Bir tüketici test kuruluşunun bunu bulabilecek kadar teknik uzmanlığa sahip olması etkileyici.
Tüketici gibi kullanarak keşfedilebilecek bir sorun değildi; güvenlik hatası bulmak için özellikle çaba gösterilince fark edilebilecek bir problemdi
WiFi yönlendirici üreticileri OpenWRT kullansa gerçekten harika olurdu
İsterlerse gli.net gibi üzerine bir tema giydirebilirler; en azından temel olarak OpenWRT kullanmaları yeterli. Açık, iyi çalışıyor
Ürün farklılaştırmasını da daha fazla anten takıp tüm hız rakamlarını toplayarak çok hızlı görünmesini sağlama şeklinde sürdürebilirler
https://www.gl-inet.com/support/firmware-versions/
https://github.com/gl-inet/openwrt
Ayrıca OpenWRT’nin sysupgrade yöntemiyle stok OpenWRT kurmak da kolay
https://openwrt.org/toh/gl.inet/gl-mt6000#installation
Kurulumu kolaydı, performansı iyiydi, bazı gelişmiş özellikleri de vardı ve yıllarca güvenlik güncellemeleri aldı
Yaklaşık 2 yıl önce ofisten bir arkadaşım ve ben Fritz!Box bozulduğunda eski bir AirPort Extreme’i çıkardık; hâlâ çok iyi çalışmakla kalmadı, 802.11ac yönlendirici olarak da oldukça rekabetçiydi
Birkaç yıl önce kendi yönlendiricimi OpnSense ile yapacak kadar meraklı biriyim; gerçekten mükemmel çalışmıştı
Bırakmamın tek nedeni BSD ile belirli bir Broadcom 10Gbe kartı arasında etrafından dolaşamadığım bir sorun olmasıydı; sonunda ClearOS ile geçici bir şeyler kurdum, daha sonra da NixOS kullanmaya başladım
Yapılamaması için pek bir neden yok
Dolayısıyla GLI.NET satın almak, “düzgün OpenWrt” çalıştıran donanımı kesin olarak elde edeceğiniz anlamına gelmiyor
Yine de donanım uyumluluk listesini kontrol etmek ya da daha iyi ve güncel bir yöntem olarak mevcut OpenWrt git master’daki DTS dosyaları listesini incelemek gerekiyor
Bu sorun yalnızca Velop ürün ailesiyle sınırlı değil
EA7500’ü openWRT’ye geçirirken, mylinksys web portalına giriş yapmaya zorlayıp ana sunucuyla bağlantı kurmaya çalışırken tamamen aynı bilgilerin gönderildiğini gördüm
“Kasım ayında Linksys’i uyarmamıza rağmen etkili bir önlem alınmadı”
Kasım mı? Kasım mı dediniz? Elbette o dönemlerde çok tatil var
Yine de üretici aktif olarak çalışmıyor ya da iletişim kurmuyorsa, bence böyle bir şey en geç ocak sonunda kamuya açık şekilde ifşa edilmiş olmalıydı
Utanç verici bir durum. Aylarca yanıt vermemek aktif biçimde kötü niyetli bir davranış ve suçu üzerine yıkacakları harcanabilir bir geliştirici değil, tüm şirket buna göre cezalandırılmalı
Apple’ın yeniden WiFi yönlendirici işine girmesini isterdim
Gizlilik ve güvenlik konusundaki yaklaşımı nedeniyle Apple’a çoğu diğer markadan daha fazla güveniyorum
Ne yazık ki Apple, eski ürünlerinin yerine Linksys yönlendiriciler satıyor
İnsanlar kendi donanımlarına sahip olmak istiyor
Önyükleyicinin ve tüm yerleşik cihazların kaynak kodu açık olmalı
Tüm NPU’lar, offloading motorları ve Ethernet veri yolundaki diğer cihazlar için firmware kaynak kodu sağlanmalı
Ana hat Linux çekirdeği, WiFi/RF dışında tamamen blob’suz önyüklemeyi desteklemeli
Bir jumper ile TrustZone erişimi etkinleştirilebilmeli ve son kullanıcı tam anahtar yönetimine sahip olmalı
İçeride seri UART port başlığı lehimli halde bulunsa iyi olur
Ama Apple’ın, kutudan çıkardıktan 5 dakika sonra OpenWrt’yi kolayca kurabileceğiniz kadar kullanıcı dostu böyle bir cihaz yapacağını sanmıyorum. Üstelik muhtemelen fahiş fiyat ister