TP-Link updatet routers zodat dns-verzoeken niet meer met Avira worden gedeeld

Routerfabrikant TP-Link heeft een firmware-update uitgebracht voor de AX55- en X68-routers waarmee de routers niet langer dns-verzoeken delen met securitybedrijf Avira. Volgens TP-Link gebeurde dit per abuis door een softwarefout, ook als gebruikers dit niet wilden.

De routers krijgen een firmware-update om de talloze dns-verzoeken die ze naar *.safethings.avira.com sturen, te stoppen. Dat schrijft TP-Link in een statement aan de Duitse website Computer Bild. Het bedrijf schrijft dat door een bug in de dns-verzoeklogica een groot aantal routinematige verzoeken plaatsvond via het IP-adres van Avira.

Om dit tegen te gaan, is er een firmware-update beschikbaar voor de X68 en AX55. Gebruikers moeten die firmware-update wel zelf installeren, maar deze lijkt nog niet beschikbaar in Nederland. De nieuwste firmwareversie voor de AX55 die te downloaden is, is versie 1.0.7 20220120 rel.74083(4555), in het statement aan Computer Bild verwijst TP-Link zelf naar een andere versie, versie 1.0.9. Versie 1.0.5 voor de X68 is ook nog niet te downloaden.

De problemen kwamen een week geleden aan het licht nadat het een Reddit-gebruiker opviel dat de routers zeer veel dns-verzoeken verstuurden, 42.000 op een dag. Die werden gedaan in het kader van de HomeShield-securitydienst van de routers, die werkt met hulp van een cloudomgeving van Avira. Het is de bedoeling dat de router daarvoor routinematig contact maakt met een IP-adres van Avira.

Wat niet de bedoeling is, is dat er zoveel verzoeken verstuurd worden en dat van gebruikers die de dienst uitzetten, alsnog tienduizenden dns-verzoeken naar Avira verstuurd worden: een fout, zegt TP-Link nu. Bij die verzoeken worden geen persoonsgegevens meegestuurd, stelt TP-Link. XDA Developers berichtte in mei 2021 al over dit probleem bij de Deco X68. TP-Link beloofde toen een firmware-update, maar die lijkt er pas nu te zijn.

Update 19:00: In een reactie aan Tweakers geeft een woordvoerder van TP-Link meer uitleg over de update. Over het contact met de server van Avira zegt hij. "Contact met deze server is simpelweg nodig om deze beveiligingsfunctie mogelijk te maken. Al het contact met deze server is altijd volledig anoniem; dit bevat nooit persoonlijke informatie." Voor een aantal routers heeft TP-Link inmiddels bèta-firmwareupdates online gezet. Het gaat om meer routers dan de twee hierboven genoemd, onder meer verschillende versies van de AAX73, AX53, AX75, X68, X60, X3600, W6000, W7200 en X50 kregen een firmwareupdate. Deze zijn te vinden op de site van TP-Link.

XDA Deco Avira traffic — Een aantal van de dns-verzoeken die XDA ontdekte. Beeld: XDA Developers

Reacties (43)

xfj 21 maart 2022 13:30

“Welk versienummer de firmware heeft, is regioafhankelijk. De nieuwste firmwareversie voor de AX55 is versie 2.6”

Dat is de hardware versie, niet de firmware versie. Laatste firmware versie voor de AX55 is 1.0.7 Build 20220120 rel.74083(4555), de fix is dus nog niet beschikbaar.

Auteur

SirRosencrantz @xfj • 21 maart 2022 13:33

Ik pas het aan.

Coffee @SirRosencrantz • 21 maart 2022 13:51

Als ik de link naar de download van het originele artikel bekijken, dan bevat de URL een structuur die elders door TP-Link wordt gebruikt voor beta-firmwares.

(Kapotte) link naar de AX55 firmware:

static.tp-link.com/upload/beta/2022/202203/20220316/ax55v1-up-us-ver1-0-9-P1%5B20220316-rel77514%5D_sign_2022-03-16_21.34.44.zip

(Werkende) link naar een beta firmware voor de AX110000:

static.tp-link.com/upload/beta/2022/202203/20220318/ax11000v1-up-ver1-2-4-P1%5B20220317-rel55009%5D_nosign_2022-03-17_15.23.04.zip

Mogelijk heeft TP-Link een beta firmware gestuurd, en het bestand achter de link onbereikbaar gemaakt toen Computer Bild deze publiekelijk deelde?

[Reactie gewijzigd door Coffee op 24 juli 2024 08:33]

Auteur

SirRosencrantz @Coffee • 21 maart 2022 14:02

Zou kunnen inderdaad.

Floort

21 maart 2022 13:54

Ik maak me zorgen om de reactie van TP-Link. Volgens de reactie van TP-Link op de website van Computer Bild beschouwen ze de gegevens niet als persoonsgegevens omdat het DNS requests zijn. Het kan zo zijn dat dat in dit geval toevallig klopt, maar DNS requests zijn over het algemeen juist zeer gevoelige (raakt aan communicatie-metadata) persoonsgegevens (verwerkt in combinatie met IP adres). En ik kan ook niet zo snel een verklaring vinden waaruit blijkt dat de verzamelde gegevens netjes vernietigd zijn.

HKS-Skyline @Floort • 21 maart 2022 17:00

Het zijn DNS queries voor het domein van Avira, geen DNS queries voor de door de gebruiker bezochte websites. Redit gebruikers in de reacties onder deze post konden geen persoonlijke data vinden in de queries:
https://www.reddit.com/r/...outers_send_all_your_web/

Floort

@HKS-Skyline • 21 maart 2022 17:30

Dan lezen we die berichten anders, bijvoorbeeld:

No. It doesn't contain any personally identifiable information. It's just DNS query records. The most they can get is DNS request source IP and DNS requested&resolved.

DNS query records plus IP-adres van de verzoeker zijn onder de AVG over het algemeen (bijv. voor de meeste consumenten) gewoon persoonsgegevens. Laat je niet teveel afleiden door het veel meer beperkte begrip PII, of door de inhoud van de data ten koste van de IP-headers.

hoi3344 21 maart 2022 13:31

Ja het is natuurlijk perongelijk gegaan dat er een firmware update heeft plaatsgevonden met daarin een ontwikkeling om DNS verzoeken door te sturen naar een ander bedrijf. Er is een ontwikkelaar geweest die dit perongelijk heeft gemaakt. Héééél geloofwaardig allemaal

Zelfde ge-emmer als met het diesel-schandaal. Er zijn zomaar ontwikkelaars zonder aansturing van bovenaf rogue gegaan om iets te ontwikkelen om de boel voor de gek te houden... ja ja

HKS-Skyline @hoi3344 • 21 maart 2022 14:24

Ik denk dat je je wat beter moet inlezen voor je dit soort onzin neerzet. De Avira antivirusdienst zit in bepaalde tp-link routers ingebouwd, het probleem was alleen dat er te veel DNS verzoeken naar Avira werden verstuurd, ook wanneer de dienst was uitgeschakeld. Dat had niet moeten gebeuren, maar heeft naar mijn inziens niets te maken met opzet of kwade bedoelingen. De DNS verzoeken zijn enkel voor safethings.avira.com en niet voor andere websites, verder werd er geen data verzonden, Avira had dus ook geen inzicht in bezochte websites etc.

Lees de reacties onder het redit bericht waar dit mee begon:
https://www.reddit.com/r/...outers_send_all_your_web/

FlyingDutchMen @HKS-Skyline • 21 maart 2022 14:45

Maar echt overtuigd dat het perongeluk ging ben ik niet hoor. De meeste developers die ik ken zijn over het algemeen best privacy gericht. En al zouden deze developers dat niet zijn geweest dan neem ik toch even voor het gemak aan dat ze snappen hoe cruciaal een router is. Al met al hoop ik van harte dat ze dit zelf ook wel getesten hebben en gezien hebben. Ja zeker een verkeerde if en het kan fout gaan. Maar ik neem toch aan dat ze gewoon een teststraat hebben voor hun software en dat een test dit er wel uit haalt (stiekem weet ik best dat het waarshijnlijk wel niet zo zal zijn).

Misschien ben ik naïef, maar ik ga er stiekem van uit dat men dit echt wel wist en gewoon de opfracht heeft gekregen dit altijd te versturen. Uiteindelijk moet hun salaris ook ergens van betaal dworden he.

HKS-Skyline @FlyingDutchMen • 21 maart 2022 15:01

Ik zou niet weten waarom een developer opzettelijk een functie inbouwt die de prestaties van een apparaat aantasten zonder dat er ook maar enig voordeel aan zit. Devs zijn vast privacy gericht, maar massaproductie van routerfirmware voor een groot bedrijf is wel iets anders dan projectgericht software ontwikkelen voor een klant. Iemand schrijft de basis code voor het avira deel, vergeet te implementeren dat de DNS requests enkel moeten gebeuren wanneer de functie is ingeschakeld en alle andere devs plakken dat stukje code in hun firmware voor de router waar ze op dat moment aan werken. Ik kan best inzien hoe dat fout kan lopen, zeker omdat de fout verder geen enkel voordeel oplevert (avira ontving geen dns requests voor de bezochte websites, enkel het domein van avira zelf) geloof ik niet dat er opzet in het spel is. Het ziet er alleen slordig uit.

TheVivaldi @HKS-Skyline • 21 maart 2022 16:46

Ik zou niet weten waarom een developer opzettelijk een functie inbouwt die de prestaties van een apparaat aantasten zonder dat er ook maar enig voordeel aan zit.

Je bedoelt zoals Apple in het verleden de prestaties van iPhones aantastte en Samsung op zijn telefoons onlangs ook? Er zat geen voordeel voor de gebruiker aan het slomer maken van de telefoons.

HKS-Skyline @TheVivaldi • 21 maart 2022 16:55

We hebben het hier over nieuwe actuele producten, niet over oudere uitgaande producten waar een opvolger voor klaar staat. Ook koopt men doorgaans niet ieder jaar een nieuwe router, en zelfs als dat zo was, dit zijn de nieuwste modellen, dus die vergelijking slaat werkelijk nergens op.
Samsung deed het recent om de accuduur te verlengen, deze routers werken niet op een accu, ook gaat het stroomverbruik omhoog van deze fout in de firmware, dus voor energiebesparing gaat de vlieger ook niet op. Mooi dat je mee wilt doen met de discussie, maar je slaat de plank finaal mis.

hrigteri @HKS-Skyline • 21 maart 2022 16:56

De bug is dat ook bij uitgeschakeld zijn, er toch data verstuurd wordt. Verder is het gewoon een feature en geen kwaadwillendheid van geen enkele kant.

Rolandp @hoi3344 • 21 maart 2022 13:38

In het artikel wordt beschreven dat dit onderdeel is van een optionele dienst in de routers. De functionaliteit is dus zeker opzettelijk gemaakt. Wat niet de bedoeling was is dat er zoveel DNS-verzoeken werden verzonden, of dat dit gebeurde terwijl de feature uit stond. Klinkt mij niet persé als kwade opzet, maar meer als slordig programmeer- en testwerk.

M.l. @Rolandp • 21 maart 2022 14:09

Klinkt als iets uit de Underhanded C-contest.

Coffee @hoi3344 • 21 maart 2022 13:40

Het hoeft niet per see een firmware update te zijn waardoor dit is gestart? Ik heb nergens gezien dat dit vanaf een bepaalde versienummer zou gelden.

En rogue ontwikkelaars? De enige rogue ontwikkelaar die ik ken zijn de jongens van Rogue Amoeba

Xfade @Coffee • 21 maart 2022 17:44

Daarnaast zijn deze routers praktisch nieuw. Als ik de redditor een beetje begrijp, is dit aan de gang vanaf release van de ax55 zo (sept '21) de x68 is van dit jaar en heeft wss. gewoon een aangepaste versie van dezelfde firmware.

computerjunky 21 maart 2022 13:48

TP-Link en een firmware upgrade. Ik ben bijna verbaast. Mijn AX50 heeft al sinds de aanschaf geen update gezien ondanks de beloofde features.

Koop gewoon geen TP-Link producten meer de support is een drama!

Daarnaast update bijna niemand zijn router. Als de wifi werkt word er niet meer naar gekeken.

Ram-G-maN

@computerjunky • 21 maart 2022 14:24

De AX50 heeft ook geen OneMesh ondersteuning terwijl hier voorheen wel mee werd geadverteerd. Ze hebben vervolgens later de AX55 uitgebracht met wel OneMesh support. Als je TP-Link contacteert met de vraag wanneer je de OneMesh update komt voor de AX50 zeggen ze doodleuk dat deze niet meer komt en dat je het beter kunt vervangen door de AX55.

Ik heb ondertussen mijn AX50 verkocht omdat parental control functies eruit zijn gesloopt en die kun je alleen krijgen wanneer je een abonnement (€99,90 per annum) neemt op de HomeCare van Trend Micro.

Inmiddels gebruik ik weer mijn oude Archer C7 v2 met OpenWRT erop. Ik mis Wi-Fi ax niet zo heel erg dus de C7 kan ermee door.

[Reactie gewijzigd door Ram-G-maN op 24 juli 2024 08:33]

computerjunky @Ram-G-maN • 21 maart 2022 14:39

Ja zelfde als WPA 3 zou in een update komen maar tada daar was de AX55.

IJsbeer @computerjunky • 21 maart 2022 13:59

De zakelijke lijn (Omada) wordt wel degelijk regelmatig bijgewerkt. Het consumentenspul lijken ze idd weinig naar om te kijken.

Qalo @computerjunky • 21 maart 2022 14:13

Je kunt prima TP-Link (consumenten)routers kopen, alleen zul je dan de TP-Link firmware meteen kunnen vervangen voor OpenWRT of DD-WRT. Dat is niet alleen beter voor je eigen veiligheid (ik vertrouw de fabrieksfirmware van huis uit niet meer sinds dat Cisco verhaal, en nu dit weer!), maar je router functioneert ook nog eens beter met deze firmware.

Mijn TP-Link WDR3600 heeft tot voor kort uitstekend gedraaid met DD-WRT. Nooit problemen gehad. En het upgraden is zó simpel, dat kan zelfs mijn oma (bij wijze van spreken).

Coffee @Qalo • 21 maart 2022 15:09

De AX55 beschikt echter over een Intel CPU, en hier kan je geen OpenWRT noch DD-WRT op flashen

Weet niet hoe het met de Deco X68 zit

[Reactie gewijzigd door Coffee op 24 juli 2024 08:33]

Qalo @Coffee • 21 maart 2022 15:27

Nee, dat lijkt er inderdaad niet op. Heb het net ook even nagekeken in de database van beiden.

Ik let er zelf heel erg op als ik een router koop, en of die te flashen is met alternatieve firmware. Ik houd er niet van om afhankelijk te zijn van één partij, en al helemáál niet van een commercieel bedrijf. Ondersteuning voor consumentenproducten is altijd erg kort en beperkt, en ik heb daar lering uit getrokken.

Misschien wel een handige tip om mee te geven aan diegenen die op het punt staan een andere router aan te schaffen: check of deze te flashen is met alternatieve, liefst open source firmware. Zo nee, kies dan een andere router (merk, model, of beiden).

Mijn oude TP-Link router was al redelijk snel na aankopen end-of-life omdat TP-Link er geen updates meer voor uitbracht. Geen probleem, want ik had al bij de aankoop gecheckt of ik 'm met alternatieve firmware kon upgraden. Tot op de dag van vandaag werkt mijn trouwe routertje nog steeds, en met de allerlaatste firmware. Anders had ik het apparaat al jaren geleden de vuilnisbak in moeten gooien. En alleen maar omdat de fabrikant het niet meer nodig vond om er een verse firmware voor te schrijven. Je reinste verspilling.

Fireshade 21 maart 2022 13:31

Als er genoeg van deze modellen zijn verkocht, resulteert deze bug niet in een soort DDOS aanval op Avira?

HADES2001 @Fireshade • 21 maart 2022 13:35

Nee een DNS verzoek is een extreem klein pakketje aan data en neem aan dat Avira hier van wist en daar op anticipeert. DDOS maakt vaak gebruik om een techniek om een klein bestandje gigantisch te vergroten en daardoor heel makkelijk veel data kan spammen. (denk aan een 1KB bestand wat 30MB word) dan trek je makkelijker iets onderuit.

OxWax @HADES2001 • 21 maart 2022 13:49

Al die routers "42.000 op een dag" requests , is dat ook geen gigantische vergroting?

FreezeXJ @OxWax • 21 maart 2022 14:14

Zijn ze niet van onder de indruk denk ik... Een beetje normale webserver kan al honderden requests per seconde aan, en dit zou zo'n 10 reqs/seconde zijn (aangenomen dat die 42k over een uur of 12 uitgesmeerd wordt). Ik denk dat ze het amper merken.

joker1977 @FreezeXJ • 21 maart 2022 14:24

10 reqs / sec per router. Afhankelijk van de markt-penetratie van die routers zijn dat miljoenen reqs / seconde.

Ik denk dat je dat wel merkt, hoor.

Coffee @joker1977 • 21 maart 2022 15:07

Ik heb de AX55, en met NextDNS heb ik de afgelopen 5 uur 1500 requests geblokkeerd. Dat is 300 per uur, of 5 per minuut.

Dennisb1 21 maart 2022 13:51

Doem denker:

i.p.v. nu DNS verzoeken te doen staat gewoon het IP hard coded in de firmware.
Fixed.

nutty 21 maart 2022 14:00

Volgens TP-Link gebeurde dit per abuis door een softwarefout
Wat heeft Avira te zoeken in de router bedoeld voor verkoop aan klanten?
De softwarefout is dat ze gepakt zijn.
Avira komt niet 'per ongeluk' in routers terecht, dat is er in het verleden bewust ingeplaatst.
Geneuzel dus van TP-Link vindt ik.

Coffee @nutty • 21 maart 2022 14:10

Even het originele artikel lezen voor de verklaring. Het scannen van requests door Avira is in dit geval een (freemium) feature; HomeShield / HomeCare. Ik heb hem zelf meteen uitgezet, maar desondanks worden de requests gestuurd. Hetgeen de reden is voor de verschillende artikelen van verschillende uitgevers over dit issue.

derikkert 21 maart 2022 22:16

Alleen maar doen omdat ze gepakt zijn zeker? Tja voor mij niet meer TP-Link hoor, niet vanwege dit maar eerder vanwege het feit dat ze iets als update beloven maar vervolgens nooit uitkomt en gewoon een nieuwere versie maker, waardoor je die dus moet kopen om de beloofde features te krijgen...