- बेल्जियम के उपभोक्ता संगठन Testaankoop ने बताया कि Linksys Velop Pro 6E और Velop Pro 7 mesh routers Wi-Fi लॉगिन जानकारी को plaintext में अमेरिकी AWS servers पर भेजते हैं
- इंस्टॉलेशन जांच के दौरान भेजे गए packets में सेट किया गया SSID और password, network identification token, और user session के लिए access token शामिल थे
- परीक्षण उस समय के latest firmware पर किए गए थे, और Linksys ने नवंबर 2023 की चेतावनी के बाद firmware update जारी किया, लेकिन समस्या हल नहीं हुई
- प्रभावित users app के बजाय web interface से Wi-Fi network name और password बदलकर readable text transmission को रोक सकते हैं
- Testaankoop ने इन models को खरीदने की सख्त मनाही की, और क्योंकि Velop product line छोटे offices के लिए भी recommend की जाती है, इसलिए personal और work दोनों environments को लेकर चिंता है
वे Velop models जिनमें plaintext transmission की पुष्टि हुई
- बेल्जियम के उपभोक्ता संगठन Testaankoop ने पुष्टि की कि दो तरह के Linksys routers Wi-Fi लॉगिन जानकारी को plaintext में Amazon AWS servers पर भेजते हैं
- प्रभावित models Linksys Velop Pro 6E और Velop Pro 7 mesh routers हैं
- नियमित installation check के दौरान अमेरिकी AWS server पर कई data packets भेजे जाते हुए detect हुए
- packets में सेट किया गया SSID name और password plaintext में मौजूद था
- एक बड़े database के अंदर network की पहचान करने वाला token भी शामिल था
- user session के लिए access token भी साथ में भेजा गया
- यह transmission method man-in-the-middle attack (MITM) की संभावना बढ़ा सकता है
- अगर कोई attacker Linksys router और Amazon server के बीच communication intercept कर ले, तो वह plaintext में भेजे जा रहे SSID और password capture कर सकता है
- network name और password को पढ़ने या बदलने, और network में unauthorized access का जोखिम पैदा होता है
Firmware status और users की कार्रवाई
- Testaankoop ने testing के समय उपलब्ध latest firmware पर जांच की
- Velop 6E को कई बार test किया गया, और आखिरी test
V 1.0.8 MX6200_1.0.8.215731firmware पर किया गया - नए Velop Pro 7 को
1.0.10.215314firmware पर test किया गया
- Velop 6E को कई बार test किया गया, और आखिरी test
- Linksys ने नवंबर 2023 की पहली warning के बाद firmware update जारी किया, लेकिन Testaankoop द्वारा उठाई गई चिंताएं हल नहीं हुईं
- security issue संभवतः Linksys firmware में इस्तेमाल किए गए third-party software से आया हो सकता है, लेकिन Testaankoop का मानना है कि इससे vulnerability जायज नहीं ठहरती
- जिन users के पास पहले से ये routers हैं, उन्हें app के बजाय web interface से Wi-Fi network name और password बदलने की सलाह दी जाती है
- यह कदम SSID name और password को readable text के रूप में transmit होने से रोकने के लिए एक precaution है
Linksys की प्रतिक्रिया और खरीदारी संबंधी सलाह
- Testaankoop ने publication से कुछ दिन पहले Linksys से फिर संपर्क कर उन्हें संक्षिप्त response का मौका दिया, लेकिन manufacturer से कोई confirmation या solution नहीं मिला
- Stack Diary ने भी 9 जुलाई को Linksys से उनकी response plan के बारे में पूछा, और 14 जुलाई तक कोई जवाब नहीं मिला
- लंबी testing के बाद Testaankoop ने निष्कर्ष निकाला कि Linksys Velop Pro WiFi 6E और Pro 7 खरीदने की बिल्कुल सलाह नहीं दी जाती, और network intrusion और data loss का जोखिम गंभीर है
- Velop series जैसे mesh routers कई connected nodes के जरिए बड़े या multiple-floor homes में Wi-Fi distribution बेहतर करने के लिए design किए गए हैं, लेकिन Velop Pro WiFi 6E और Pro 7 का data transmission तरीका उन security benefits को कमजोर करता है जो उन्हें देने चाहिए
2 टिप्पणियां
यह बहाना कि सपोर्ट एजेंट उन यूज़र्स की मदद कर सकें जो अपना पासवर्ड भूल गए हों
Hacker News की रायें
इन comments को पढ़कर लगता है कि क्या सबको पासवर्ड को server पर भेजना ठीक लगता है और सिर्फ encryption न होना ही समस्या है?
शुरू से ही उम्मीद नहीं थी कि password server पर भेजा जाएगा
ऐसा करने वाला router अपने उद्देश्य के अनुकूल product नहीं है, और सच कहें तो Linksys routers को मैं कई सालों से कुल मिलाकर इस्तेमाल लायक product नहीं मानता था
plaintext आसानी से देखा जा सकता है और लोग इसका पता लगा सकते हैं, जिससे PR damage हो सकता है, लेकिन encrypted password को track करना असल में मुश्किल होता है
TR-69 mechanism के जरिए Verizon FiOS router local WiFi password को central management system को भेजता है
जो बहाना सुना था वह था: “ताकि support staff उन users की मदद कर सके जो password भूल गए हों” :-/
और जोड़ दूं, अगर provider app में दिए गए equipment का password बदल सकते हैं, तो बहुत संभावना है कि वह password कम से कम TCP/TLS packets के अंदर plaintext में आता-जाता होगा
अच्छा लगता है कि मेरी आदत पहले से ही telco-provided router न इस्तेमाल करने की रही है
उसके बाद router में login करके नया password set किया जा सकता है
अगर मैं internet service provider होता और WiFi password से जुड़े support requests बहुत ज्यादा मिलते, तो शायद WPS का ज्यादा इस्तेमाल करने पर विचार करता
Router industry का stable local network equipment के बजाय smart devices में बदल जाना मुझे सचमुच नापसंद है
दूसरे industries में दिखने वाला customer exploitation यहां भी ठीक वैसा ही हो रहा है। उदाहरण के लिए, TP Link, Roku जैसी companies की तरह routers में dark patterns इस्तेमाल करता है, और terms of service update करने के बाद app इस्तेमाल करने के लिए popup में accept करने पर मजबूर करता है
App ज्यादातर router settings functions तक पहुंचने का इकलौता तरीका है, पुराने तरीके से अलग, जहां password-protected webpage खोलकर settings की जाती थीं। अगर आप नए terms accept नहीं करते, तो जिस router को अब तक control कर रहे थे, उसे आगे control नहीं कर सकते
ऊपर से app के अंदर menu items या user interface elements के पास लाल गोल badges जैसी nudges देकर बेकार और न-चाहे service trials लगातार push किए जाते हैं
Linksys की तरह मेरे personal information और security का दुरुपयोग करने की अनुमति देने वाले terms हों तो भी आश्चर्य नहीं होगा
लेकिन जाएं तो कहां? हर company यही कर रही है। शायद इसके बिना survival ही संभव नहीं है। इसलिए security breaches की liability और terms of service abuse पर limits जैसी regulation की जरूरत लगती है
क्या यह सचमुच plaintext है, या HTTPS के अंदर plaintext है? लेख और original material यह नहीं बताते
Password का HTTPS request के अंदर “plaintext” होना काफी आम है। लगभग हर web app login ऐसे ही काम करता है
अगर HTTPS नहीं है, तो request में plaintext password डालने के अलावा भी ढेर सारी दूसरी समस्याएं हैं
अगर HTTPS है, तो असली समस्या यह है कि password local ही नहीं रहता, बल्कि कहीं भेजा जाता है। यह practice कहीं ज्यादा विवादास्पद है, लेकिन दुर्भाग्य से कई routers cloud/app management features support करने के लिए आम तौर पर ऐसा करते हैं
अभी जो वजहें समझ आती हैं वे बस इतनी हैं: mesh configuration के लिए दूसरे device को ज्यादा “automatic” तरीके से set करना, या factory reset के बाद भी वही password इस्तेमाल कराना। दोनों के बेहतर solutions हैं
अगर नया password set करना है तो existing password की जरूरत क्यों है, यह समझ नहीं आता; और अगर remote management access credentials के रूप में WiFi password इस्तेमाल हो रहा है, तो यह खराब है, क्योंकि मेरे network access का मतलब management access नहीं होना चाहिए
अगर सच में जरूरत हो, तो पर्याप्त salt डालकर hashed password ही भेजने जैसा तरीका कहीं बेहतर हो सकता है
क्योंकि अगर Linksys server certificate की private key तक access मिला होता, तो वह कहीं बड़ी खबर होती
यह प्रभावशाली है कि consumer testing organization के पास इसे पकड़ने जितनी technical expertise थी
इसे consumer की तरह इस्तेमाल करके नहीं खोजा जा सकता था; security bug ढूंढने के लिए जानबूझकर कोशिश करनी पड़ती, तभी यह दिखता
काश WiFi राउटर निर्माता OpenWRT का इस्तेमाल करते
चाहें तो gli.net की तरह ऊपर से स्किन लगा सकते हैं, कम-से-कम बेस तो OpenWRT पर हो। यह open है और अच्छे से काम करता है
प्रोडक्ट differentiation वे एंटेना और ज्यादा लगाकर और सारे speed numbers जोड़कर उसे सच में बहुत तेज़ दिखाने जैसे तरीकों से जारी रख सकते हैं
https://www.gl-inet.com/support/firmware-versions/
https://github.com/gl-inet/openwrt
और OpenWRT के sysupgrade तरीके से stock OpenWRT install करना भी आसान है
https://openwrt.org/toh/gl.inet/gl-mt6000#installation
इसे सेट करना आसान था, performance अच्छी थी, कुछ advanced features भी थे, और इसे कई सालों तक security updates मिले
करीब 2 साल पहले, जब एक office colleague और मेरा Fritz!Box खराब हो गया था, तब हमने पुराना AirPort Extreme निकाला था; वह अब भी बहुत अच्छे से काम कर रहा था और 802.11ac router के तौर पर भी काफी competitive था
कुछ साल पहले मैं इतना geek था कि खुद OpnSense से router बनाया था, और वह वाकई शानदार चला
उसे छोड़ने की इकलौती वजह BSD और एक खास Broadcom 10Gbe card के बीच ऐसी समस्या थी जिसका workaround नहीं था; आखिर में ClearOS से कुछ temporary बनाया और बाद में NixOS इस्तेमाल करने लगा
ऐसा न कर पाने की कोई खास वजह नहीं है
इसलिए GLI.NET खरीदने से यह पक्का नहीं हो जाता कि आपको “proper OpenWrt” चलाने वाला hardware मिलेगा
फिर भी hardware compatibility list देखनी होगी, या इससे भी बेहतर और ताजा तरीका यह है कि मौजूदा OpenWrt git master की DTS files की list देखें
यह समस्या सिर्फ Velop product line तक सीमित नहीं है
EA7500 को openWRT पर switch करते समय, मैंने देखा कि mylinksys web portal पर login के लिए मजबूर किया जा रहा था और home server से connection बनाने की कोशिश करते हुए बिल्कुल वही जानकारी भेजी जा रही थी
“नवंबर में Linksys को चेतावनी देने के बावजूद प्रभावी कदम नहीं उठाए गए”
नवंबर? नवंबर कहा? हां, उस समय holidays तो काफी होते हैं
फिर भी, अगर vendor सक्रिय रूप से काम या communication नहीं कर रहा है, तो मेरी राय में ऐसी चीज़ को ज्यादा-से-ज्यादा जनवरी के अंत तक public disclosure हो जाना चाहिए था
यह शर्मनाक है। कई महीनों तक जवाब न देना सक्रिय रूप से malicious behavior है, और सिर्फ किसी disposable developer को बलि का बकरा बनाने के बजाय पूरी कंपनी को उसी हिसाब से सज़ा मिलनी चाहिए
काश Apple फिर से WiFi router business में आ जाए
privacy और security के रवैये के मामले में मैं ज्यादातर दूसरे brands की तुलना में Apple पर ज्यादा भरोसा करता हूं
अफसोस कि Apple अपने पुराने products के replacement के तौर पर Linksys router बेच रहा है
लोग अपना hardware खुद own करना चाहते हैं
bootloader और सभी onboard devices का source open होना चाहिए
सभी NPU, offloading engines और Ethernet data path पर मौजूद दूसरे devices के firmware source उपलब्ध होने चाहिए
mainline Linux kernel को WiFi/RF को छोड़कर पूरी तरह blob-free boot support करना चाहिए
jumper के जरिए TrustZone access enable किया जा सके, और end user के पास full key management होना चाहिए
अंदर serial UART port header लगा हो तो अच्छा रहेगा
लेकिन लगता नहीं कि Apple इतना user-friendly device बनाएगा जिस पर box से निकालने के 5 मिनट के भीतर आसानी से OpenWrt install किया जा सके। ऊपर से वे शायद इसके लिए महंगी कीमत वसूलेंगे