2 पॉइंट द्वारा GN⁺ 2024-07-10 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • बेल्जियम के उपभोक्ता संगठन Testaankoop ने बताया कि Linksys Velop Pro 6E और Velop Pro 7 mesh routers Wi-Fi लॉगिन जानकारी को plaintext में अमेरिकी AWS servers पर भेजते हैं
  • इंस्टॉलेशन जांच के दौरान भेजे गए packets में सेट किया गया SSID और password, network identification token, और user session के लिए access token शामिल थे
  • परीक्षण उस समय के latest firmware पर किए गए थे, और Linksys ने नवंबर 2023 की चेतावनी के बाद firmware update जारी किया, लेकिन समस्या हल नहीं हुई
  • प्रभावित users app के बजाय web interface से Wi-Fi network name और password बदलकर readable text transmission को रोक सकते हैं
  • Testaankoop ने इन models को खरीदने की सख्त मनाही की, और क्योंकि Velop product line छोटे offices के लिए भी recommend की जाती है, इसलिए personal और work दोनों environments को लेकर चिंता है

वे Velop models जिनमें plaintext transmission की पुष्टि हुई

  • बेल्जियम के उपभोक्ता संगठन Testaankoop ने पुष्टि की कि दो तरह के Linksys routers Wi-Fi लॉगिन जानकारी को plaintext में Amazon AWS servers पर भेजते हैं
  • प्रभावित models Linksys Velop Pro 6E और Velop Pro 7 mesh routers हैं
  • नियमित installation check के दौरान अमेरिकी AWS server पर कई data packets भेजे जाते हुए detect हुए
    • packets में सेट किया गया SSID name और password plaintext में मौजूद था
    • एक बड़े database के अंदर network की पहचान करने वाला token भी शामिल था
    • user session के लिए access token भी साथ में भेजा गया
  • यह transmission method man-in-the-middle attack (MITM) की संभावना बढ़ा सकता है
    • अगर कोई attacker Linksys router और Amazon server के बीच communication intercept कर ले, तो वह plaintext में भेजे जा रहे SSID और password capture कर सकता है
    • network name और password को पढ़ने या बदलने, और network में unauthorized access का जोखिम पैदा होता है

Firmware status और users की कार्रवाई

  • Testaankoop ने testing के समय उपलब्ध latest firmware पर जांच की
    • Velop 6E को कई बार test किया गया, और आखिरी test V 1.0.8 MX6200_1.0.8.215731 firmware पर किया गया
    • नए Velop Pro 7 को 1.0.10.215314 firmware पर test किया गया
  • Linksys ने नवंबर 2023 की पहली warning के बाद firmware update जारी किया, लेकिन Testaankoop द्वारा उठाई गई चिंताएं हल नहीं हुईं
  • security issue संभवतः Linksys firmware में इस्तेमाल किए गए third-party software से आया हो सकता है, लेकिन Testaankoop का मानना है कि इससे vulnerability जायज नहीं ठहरती
  • जिन users के पास पहले से ये routers हैं, उन्हें app के बजाय web interface से Wi-Fi network name और password बदलने की सलाह दी जाती है
    • यह कदम SSID name और password को readable text के रूप में transmit होने से रोकने के लिए एक precaution है

Linksys की प्रतिक्रिया और खरीदारी संबंधी सलाह

  • Testaankoop ने publication से कुछ दिन पहले Linksys से फिर संपर्क कर उन्हें संक्षिप्त response का मौका दिया, लेकिन manufacturer से कोई confirmation या solution नहीं मिला
  • Stack Diary ने भी 9 जुलाई को Linksys से उनकी response plan के बारे में पूछा, और 14 जुलाई तक कोई जवाब नहीं मिला
  • लंबी testing के बाद Testaankoop ने निष्कर्ष निकाला कि Linksys Velop Pro WiFi 6E और Pro 7 खरीदने की बिल्कुल सलाह नहीं दी जाती, और network intrusion और data loss का जोखिम गंभीर है
  • Velop series जैसे mesh routers कई connected nodes के जरिए बड़े या multiple-floor homes में Wi-Fi distribution बेहतर करने के लिए design किए गए हैं, लेकिन Velop Pro WiFi 6E और Pro 7 का data transmission तरीका उन security benefits को कमजोर करता है जो उन्हें देने चाहिए

2 टिप्पणियां

 
halfenif 2024-07-11

यह बहाना कि सपोर्ट एजेंट उन यूज़र्स की मदद कर सकें जो अपना पासवर्ड भूल गए हों

आह...

 
GN⁺ 2024-07-10
Hacker News की रायें
  • इन comments को पढ़कर लगता है कि क्या सबको पासवर्ड को server पर भेजना ठीक लगता है और सिर्फ encryption न होना ही समस्या है?
    शुरू से ही उम्मीद नहीं थी कि password server पर भेजा जाएगा

    • कुछ हद तक संबंधित: 2013 का लेख है, जिसमें कहा गया है कि Google दुनिया भर के WiFi passwords जानता है: https://www.computerworld.com/article/1496628/android-google...
    • बिल्कुल ठीक नहीं है। मेरा मानना है कि router को, जब तक user ने साफ तौर पर सेट न किया हो, किसी अज्ञात server को कोई भी data transmit नहीं करना चाहिए
      ऐसा करने वाला router अपने उद्देश्य के अनुकूल product नहीं है, और सच कहें तो Linksys routers को मैं कई सालों से कुल मिलाकर इस्तेमाल लायक product नहीं मानता था
    • शायद developers इससे सहमत नहीं थे, इसलिए अंदरूनी तौर पर जानबूझकर sabotage किया गया हो
      plaintext आसानी से देखा जा सकता है और लोग इसका पता लगा सकते हैं, जिससे PR damage हो सकता है, लेकिन encrypted password को track करना असल में मुश्किल होता है
    • मुझे भी यह ठीक नहीं लगता। Router setup के लिए phone app का इस्तेमाल मांगना भी मुझे पसंद नहीं है
    • यह लेख man-in-the-middle attack vulnerability पर लंबी चर्चा करता है, लेकिन यह नहीं बताता कि शुरू में middleman होना ही क्यों चाहिए, या Amazon को endpoint पर किसी व्यक्ति को रखने का अधिकार क्यों है
  • TR-69 mechanism के जरिए Verizon FiOS router local WiFi password को central management system को भेजता है
    जो बहाना सुना था वह था: “ताकि support staff उन users की मदद कर सके जो password भूल गए हों” :-/

    • ईमानदारी से कहें तो इसमें काफी तुक है। Support में बचने वाला समय security incident संभालने की लागत से कहीं ज्यादा होने की संभावना है
    • बात सिर्फ इतनी नहीं होगी। शायद दुनिया भर में ग्राहकों को modem देने वाले लगभग हर internet service provider—चाहे उसमें WiFi router built-in हो या नहीं—यही करता होगा
      और जोड़ दूं, अगर provider app में दिए गए equipment का password बदल सकते हैं, तो बहुत संभावना है कि वह password कम से कम TCP/TLS packets के अंदर plaintext में आता-जाता होगा
    • यह पूरी तरह पागलपन है
      अच्छा लगता है कि मेरी आदत पहले से ही telco-provided router न इस्तेमाल करने की रही है
    • अब तक मैंने जितने भी WiFi routers इस्तेमाल किए हैं, उनमें reset button कुछ seconds दबाने पर hard reset हो जाता था, और WiFi default password पर वापस चला जाता था
      उसके बाद router में login करके नया password set किया जा सकता है
    • मुझे लगा था कि WiFi password की परेशानी का हल WPS होगा
      अगर मैं internet service provider होता और WiFi password से जुड़े support requests बहुत ज्यादा मिलते, तो शायद WPS का ज्यादा इस्तेमाल करने पर विचार करता
  • Router industry का stable local network equipment के बजाय smart devices में बदल जाना मुझे सचमुच नापसंद है
    दूसरे industries में दिखने वाला customer exploitation यहां भी ठीक वैसा ही हो रहा है। उदाहरण के लिए, TP Link, Roku जैसी companies की तरह routers में dark patterns इस्तेमाल करता है, और terms of service update करने के बाद app इस्तेमाल करने के लिए popup में accept करने पर मजबूर करता है
    App ज्यादातर router settings functions तक पहुंचने का इकलौता तरीका है, पुराने तरीके से अलग, जहां password-protected webpage खोलकर settings की जाती थीं। अगर आप नए terms accept नहीं करते, तो जिस router को अब तक control कर रहे थे, उसे आगे control नहीं कर सकते
    ऊपर से app के अंदर menu items या user interface elements के पास लाल गोल badges जैसी nudges देकर बेकार और न-चाहे service trials लगातार push किए जाते हैं
    Linksys की तरह मेरे personal information और security का दुरुपयोग करने की अनुमति देने वाले terms हों तो भी आश्चर्य नहीं होगा
    लेकिन जाएं तो कहां? हर company यही कर रही है। शायद इसके बिना survival ही संभव नहीं है। इसलिए security breaches की liability और terms of service abuse पर limits जैसी regulation की जरूरत लगती है

  • क्या यह सचमुच plaintext है, या HTTPS के अंदर plaintext है? लेख और original material यह नहीं बताते
    Password का HTTPS request के अंदर “plaintext” होना काफी आम है। लगभग हर web app login ऐसे ही काम करता है
    अगर HTTPS नहीं है, तो request में plaintext password डालने के अलावा भी ढेर सारी दूसरी समस्याएं हैं
    अगर HTTPS है, तो असली समस्या यह है कि password local ही नहीं रहता, बल्कि कहीं भेजा जाता है। यह practice कहीं ज्यादा विवादास्पद है, लेकिन दुर्भाग्य से कई routers cloud/app management features support करने के लिए आम तौर पर ऐसा करते हैं

    • Management features support करने के लिए cloud को WiFi password जानने की जरूरत क्यों है?
      अभी जो वजहें समझ आती हैं वे बस इतनी हैं: mesh configuration के लिए दूसरे device को ज्यादा “automatic” तरीके से set करना, या factory reset के बाद भी वही password इस्तेमाल कराना। दोनों के बेहतर solutions हैं
      अगर नया password set करना है तो existing password की जरूरत क्यों है, यह समझ नहीं आता; और अगर remote management access credentials के रूप में WiFi password इस्तेमाल हो रहा है, तो यह खराब है, क्योंकि मेरे network access का मतलब management access नहीं होना चाहिए
      अगर सच में जरूरत हो, तो पर्याप्त salt डालकर hashed password ही भेजने जैसा तरीका कहीं बेहतर हो सकता है
    • अगर intercept किया गया था, तो इसे सचमुच plaintext ही मानना चाहिए
      क्योंकि अगर Linksys server certificate की private key तक access मिला होता, तो वह कहीं बड़ी खबर होती
  • यह प्रभावशाली है कि consumer testing organization के पास इसे पकड़ने जितनी technical expertise थी
    इसे consumer की तरह इस्तेमाल करके नहीं खोजा जा सकता था; security bug ढूंढने के लिए जानबूझकर कोशिश करनी पड़ती, तभी यह दिखता

  • काश WiFi राउटर निर्माता OpenWRT का इस्तेमाल करते
    चाहें तो gli.net की तरह ऊपर से स्किन लगा सकते हैं, कम-से-कम बेस तो OpenWRT पर हो। यह open है और अच्छे से काम करता है
    प्रोडक्ट differentiation वे एंटेना और ज्यादा लगाकर और सारे speed numbers जोड़कर उसे सच में बहुत तेज़ दिखाने जैसे तरीकों से जारी रख सकते हैं

    • कुछ घंटे पहले किसी और वजह से पता चला कि असल में ऐसी कम-से-कम एक कंपनी है। GL.iNet अपने खुद के build किए हुए OpenWRT पर चलने वाले राउटर बेचता है
      https://www.gl-inet.com/support/firmware-versions/
      https://github.com/gl-inet/openwrt
      और OpenWRT के sysupgrade तरीके से stock OpenWRT install करना भी आसान है
      https://openwrt.org/toh/gl.inet/gl-mt6000#installation
    • काश Apple AirPort को भी फिर से जिंदा कर देता
      इसे सेट करना आसान था, performance अच्छी थी, कुछ advanced features भी थे, और इसे कई सालों तक security updates मिले
      करीब 2 साल पहले, जब एक office colleague और मेरा Fritz!Box खराब हो गया था, तब हमने पुराना AirPort Extreme निकाला था; वह अब भी बहुत अच्छे से काम कर रहा था और 802.11ac router के तौर पर भी काफी competitive था
    • अगर Linux के GPL-related हिस्सों की चिंता है, तो OpnSense भी है। यह अच्छा काम करता है और मेरी नजर में इसकी reputation भी काफी अच्छी है
      कुछ साल पहले मैं इतना geek था कि खुद OpnSense से router बनाया था, और वह वाकई शानदार चला
      उसे छोड़ने की इकलौती वजह BSD और एक खास Broadcom 10Gbe card के बीच ऐसी समस्या थी जिसका workaround नहीं था; आखिर में ClearOS से कुछ temporary बनाया और बाद में NixOS इस्तेमाल करने लगा
    • मैंने themes खुद install करके नहीं देखीं, लेकिन https://openwrt.org/docs/guide-user/luci/luci.themes की तरह वे सच में मौजूद हैं
      ऐसा न कर पाने की कोई खास वजह नहीं है
    • कई GLI.NET devices ऐसे SoC इस्तेमाल करते हैं जिनका Linux mainline kernel support upstream नहीं हुआ है
      इसलिए GLI.NET खरीदने से यह पक्का नहीं हो जाता कि आपको “proper OpenWrt” चलाने वाला hardware मिलेगा
      फिर भी hardware compatibility list देखनी होगी, या इससे भी बेहतर और ताजा तरीका यह है कि मौजूदा OpenWrt git master की DTS files की list देखें
  • यह समस्या सिर्फ Velop product line तक सीमित नहीं है
    EA7500 को openWRT पर switch करते समय, मैंने देखा कि mylinksys web portal पर login के लिए मजबूर किया जा रहा था और home server से connection बनाने की कोशिश करते हुए बिल्कुल वही जानकारी भेजी जा रही थी

  • “नवंबर में Linksys को चेतावनी देने के बावजूद प्रभावी कदम नहीं उठाए गए”
    नवंबर? नवंबर कहा? हां, उस समय holidays तो काफी होते हैं
    फिर भी, अगर vendor सक्रिय रूप से काम या communication नहीं कर रहा है, तो मेरी राय में ऐसी चीज़ को ज्यादा-से-ज्यादा जनवरी के अंत तक public disclosure हो जाना चाहिए था

  • यह शर्मनाक है। कई महीनों तक जवाब न देना सक्रिय रूप से malicious behavior है, और सिर्फ किसी disposable developer को बलि का बकरा बनाने के बजाय पूरी कंपनी को उसी हिसाब से सज़ा मिलनी चाहिए

  • काश Apple फिर से WiFi router business में आ जाए
    privacy और security के रवैये के मामले में मैं ज्यादातर दूसरे brands की तुलना में Apple पर ज्यादा भरोसा करता हूं
    अफसोस कि Apple अपने पुराने products के replacement के तौर पर Linksys router बेच रहा है

    • माफ कीजिए, लेकिन device subscription business model में किसी की दिलचस्पी नहीं है
      लोग अपना hardware खुद own करना चाहते हैं
    • अगर ये शर्तें पूरी हों, तो इसे कौन बनाता है इससे फर्क नहीं पड़ता
      bootloader और सभी onboard devices का source open होना चाहिए
      सभी NPU, offloading engines और Ethernet data path पर मौजूद दूसरे devices के firmware source उपलब्ध होने चाहिए
      mainline Linux kernel को WiFi/RF को छोड़कर पूरी तरह blob-free boot support करना चाहिए
      jumper के जरिए TrustZone access enable किया जा सके, और end user के पास full key management होना चाहिए
      अंदर serial UART port header लगा हो तो अच्छा रहेगा
      लेकिन लगता नहीं कि Apple इतना user-friendly device बनाएगा जिस पर box से निकालने के 5 मिनट के भीतर आसानी से OpenWrt install किया जा सके। ऊपर से वे शायद इसके लिए महंगी कीमत वसूलेंगे