Testaankoop: Linksys-routers sturen inloggegevens naar VS in plaintext - update - Computer - Nieuws

De Velop Pro WiFi 6E- en 7-meshrouters van het merk Linksys ondervinden volgens de Belgische consumentenorganisatie Testaankoop al meer dan een halfjaar beveiligingsproblemen. De routers zouden tijdens de installatie in plaintext inloggegevens naar een server in de VS sturen.

Het gaat volgens Testaankoop om de Linksys Velop Pro WiFi 6E, de uitvoeringen MX6201-KE en MX6203-KE, en de Linksys Velop Pro 7. Beide meshroutersystemen verzenden volgens de consumentenorganisatie tijdens het installatieproces via de app 'de geconfigureerde SSID-naam en het wachtwoord' in plaintext naar een Amazon-server in de VS. Ook zouden ze identificatietokens en een toegangstoken voor de gebruikerssessie verzenden, wat een man-in-the-middleaanval mogelijk zou maken. Bij zo'n aanval wordt de verbinding tussen de router en een server onderschept, waardoor weer gegevens gestolen zouden kunnen worden.

Testaankoop beweert Linksys meermaals te hebben ingelicht over de kwetsbaarheid: voor het eerst in november 2023 en onlangs na de release van een firmware-update. Ondanks de meldingen zou het probleem nog niet verholpen zijn, zelfs niet na de firmware-update.

Update, 16.18 uur: De bron benadrukt dat het probleem alleen plaatsvindt wanneer de Linksys-app gebruikt wordt. Het is veilig om de vermelde producten via de webinterface te gebruiken. Dit stond niet duidelijk vermeld in het oorspronkelijke artikel en is aangepast.

Reacties (131)

david-v

9 juli 2024 15:32

Wat ik hier mis is of usernaam en wachtwoord in plaintext ook over een onbeveiligde HTTP verbinding gingen of via een HTTPS verbinding.

zircondan @david-v • 9 juli 2024 15:33

Waarom zouden deze gegevens überhaupt verstuurd moeten worden naar een backend? Ik vind het een kwalijke zaak dat het gebeurt.

Als dit Huawei was, dan was de wereld misschien wel te klein.

Anoniem: 2138998 @zircondan • 9 juli 2024 16:46

Amerikaans, dus betrouwbaar toch? Net als Cisco en de CIA.

cariolive23 @Anoniem: 2138998 • 9 juli 2024 17:01

Het is al heel lang niet meer Amerikaans, en vanaf dag 1 werden hun producten in China en Taiwan geproduceerd.

Dat ze een cloud provider uit de VS gebruiken en een instance in de VS gebruiken, kan iedereen doen. Ook jij en ik.

[Reactie gewijzigd door cariolive23 op 22 juli 2024 14:33]

bytemaster460 @cariolive23 • 9 juli 2024 18:47

Linksys is nog steeds een Amerikaans bedrijf. Waar een product geproduceerd wordt doet er niet zoveel toe. Het beleid t.a.v. een product wordt niet door de fabriek bepaald. Die voert enkel een contract uit.

cariolive23 @bytemaster460 • 9 juli 2024 19:03

Tuurlijk, juridisch klopt dat. Verder is er alleen niets Amerikaans aan dit bedrijf.

Ter informatie: Jij kunt vandaag ook nog een Amerikaans bedrijf oprichten, kun je binnen enkele minuten online regelen.

Het.Draakje @cariolive23 • 10 juli 2024 09:33

Oops.

[Reactie gewijzigd door Het.Draakje op 22 juli 2024 14:33]

david-v

@zircondan • 9 juli 2024 15:52

Het gebeurd echt heel vaak, via HTTPS omdat het dan "zogenaamd" veilig is, maar het komt echt heel vaak voor. Via HTTP zou helemaal een lachertje zijn want dan kan werkelijk iedereen het lezen. Vandaar mijn vraag hierover.

Hier is een wat oudere post die uitlegt hoe je dit zou moeten regelen. Zoals jij al aangeeft, wachtwoorden wil je nergens opslaan eigenlijk, zelfs niet in je geheugen (memory dump).

bytemaster460 @zircondan • 9 juli 2024 18:44

Het wordt verstuurd vanwege een cloudservice die men aanbiedt voor dit product, daarvoor is het nodig om te versturen, maar dat het in plain tekst gebeurt is nogal merkwaardig.

Aldy @zircondan • 10 juli 2024 14:27

Voor elk merk, uit welk land ook, zou de wereld te klein moeten zijn als er onterecht en niet noodzakelijke info wordt opgeslagen. En als er in afgelopen november al over geklaagd is en er is nog steeds niets aan gedaan, dan denk ik dat het opslaan in ieder geval de bedoeling is. Of dit in plain text had moeten gebeuren is natuurlijk de vraag.
Weer een bedrijf dat je qua privacy kunt afstrepen.

Vogel666 @zircondan • 10 juli 2024 16:03

Ik doe even een gokje: er wordt een handige QR code gegenereerd door AWS zodat je niet op al je devices zelf je wifi moet configureren.

Lang leve de wereld van microservices waardoor luie programeurs niet langer zelf aan de bak hoeven.
En security?!? Nah, als het maar werkt.
Het voldoet aan de beschreven requirements en dús is het goed.

P. vd Loo @zircondan • 10 juli 2024 19:51

Exact wat ik dacht. Huawei kon bepaalde gegevens in het kpn netwerk lezen, maar er was geen bewijs voor dat dat ook gebeurd was en toch was het groot nieuws en was een is het in de media eigenlijk als een feit gepresenteerd dat Huawei spioneert.
Van dit bedrijf is nu bewezen dat er inloggegevens maar de VS gaan en je hoort er werkelijk niets over, enkel op een techsite.

Bor Coördinator Frontpage Admins / FP Powermod @david-v • 9 juli 2024 15:58

Zoals ik het hier lees lijkt het echt om onbeveiligde verbindingen te gaan maar echt duidelijk is men niet.

Tijdens de installatie verzond de router verschillende gegevenspakketten naar een server van Amazon in de VS. Deze pakketten bevatten de geconfigureerde SSID-naam en -wachtwoord in gewone tekst, en ook enkele identificatietokens voor dit netwerk binnen een bredere database én een toegangstoken voor een gebruikerssessie die mogelijk een MITM-aanval (man-in-the-middle-aanval) mogelijk zou kunnen maken.

Dat is een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen daar weet van hebben. De berichten, zoals bv. je e-mail, kunnen daarbij mogelijk gelezen en veranderd worden.

Als ik dit lees lijkt het weer specifiek om de bijbehorende app te gaan. Dat zou betekenen dat de kwetsbaarheid in de app zit ipv in de routers zelf.

Hoe kun je veilig je paswoord veranderen?

Misschien ben je al in het bezit van een Velop Pro 6E of 7. Pas dan de naam van je wifi-netwerk (SSID) en het bijbehorende wachtwoord aan via de webinterface in plaats van met de app. Hiermee voorkom je dat je wifi-netwerknaam en wachtwoord in leesbare tekst worden gedeeld.

[Reactie gewijzigd door Bor op 22 juli 2024 14:33]

thomas_n 9 juli 2024 15:27

Als dit waar is hoop ik op een boete die Linksys daadwerkelijk raakt, dus niet slechts een paar miljoen o.i.d., zodat ze er echt werk van maken dit nooit meer te doen.

Dergelijke beveiligingsfouten bij een groot en ervaren bedrijf als Linksys gaan verder dan slordigheid. Dit is ofwel totale onkunde, ofwel kwade opzet.

Anoniem: 2138998 @thomas_n • 9 juli 2024 16:48

Niet een boete, maar een celstraf voor de CEO. Die is verantwoordelijk. Ook een verkoopverbod instellen

cariolive23 @Anoniem: 2138998 • 9 juli 2024 16:51

Welke wet heeft hij/zij dan overtreden? En welke straf staat daar dan op?

Zomaar wat roepen is leuk voor de bühne, maar zonder enig juridisch houvast zet je jezelf voor schut.

Anoniem: 2138998 @cariolive23 • 9 juli 2024 17:07

Als een boete word uitgedeeld is een wet overtreden. En omdat boetes niet helpen omdat de winsten bij wetsovertrding hoger zijn moeten celstraffen worden ingesteld.

Of maak de boetes zodanig hoog dat alle extra winst en meer worden afgeroomd.

cariolive23 @Anoniem: 2138998 • 9 juli 2024 17:13

Dat is niet altijd waar, soms krijg je een boete zonder dat je een wet hebt overtreden. Stap je naar de rechter, vecht je dit aan, en kan de boete worden verscheurd. Gebeurt zelfs met parkeerboetes.

Maar in dit geval weten we zelfs niet of er een wet is overtreden, er wordt hier maar wat geroepen zonder enige juridische onderbouwing. Dus vertel, welke wet hebben ze dan overtreden?

En ja, het voelt niet goed dat zij jouw wachtwoorden in plain text naar hun servers sturen, maar dat betekent nog niet dat er een wet is overtreden.

Pietervs @cariolive23 • 10 juli 2024 00:09

Dat is niet altijd waar, soms krijg je een boete zonder dat je een wet hebt overtreden.
Dus je hebt de illusie dat agenten rondlopen en boetes verzinnen? Wat een onzin.
Ja, er worden onterecht boetes uitgeschreven. Maar nee, niet zo volslagen arbitrair als je hier voor doet komen. Agenten zijn namelijk mensen, en mensen maken nou eenmaal fouten.

cariolive23 @Pietervs • 10 juli 2024 02:46

Zelf een keer gehad met parkeren, volgens hen op een invalide parkeerplaats, volgens mij niet. Zij hadden ook keurig een foto gemaakt die precies weergaf dat mijn auto op de parkeerplaats áchter de invalide parkeerplaats stond. Dat hadden ze echter niet gezien.

Een paar weken later stond er bij deze parkeerplaats ook een bord.

Zij hebben geen boete verzonnen, ze maakten gewoon een fout. Het zijn ook maar mensen.

Anoniem: 2138998 @cariolive23 • 9 juli 2024 17:33

Ze hebben gegevens onvoldoende beschermd.

Welke wet er is overtreden laat ik aan de overheden over

iew @cariolive23 • 10 juli 2024 13:52

Dat is niet altijd waar,

Maar meestal dus wel, net zoiets als het zinnetje 'dat is niet helemaal waar', dat betekend dus niet dat iets helemaal niet waar is, ook hier geldt dan ook dat het overgrote deel wel waar is.

Vogel666 @cariolive23 • 10 juli 2024 16:09

Wel kun je vaststellen dat de geleverde dienst/apparatuur niet aan de kwaliteitseisen voldoet die je mag verwachten van je leverancier.
Er is dus een wanprestatie geleverd en je hebt recht op compensatie.

Logischer wijs zou je kunnen verwachten dat die compensatie nooit hoger zal zijn dan het aankoopbedrag.

Maar dat hoeft niet perse het geval te zijn. Zo krijg je bij een sterk vertraagde vlucht ook een vast bedrag, ongeacht de hoogte van je daadwerkelijk geleden schade en ongeacht de prijs van je ticket.

RefriedNoodle @Anoniem: 2138998 • 9 juli 2024 23:46

Als een boete word uitgedeeld is een wet overtreden.

Ik denk dat je je even moet verdiepen in het verschil tussen strafrecht en civiel recht.

Anoniem: 2138998 @RefriedNoodle • 10 juli 2024 03:57

Leg even uit waarom. In een civiele zaak kan geen boete worden gegeven, dat kan echt alleen na een wetsovertreding.

Dat stukje wet ken ik heel goed, ik heb er aardig mee verdiend. Boetes worden alleen gegeven door overheden. Na een wetsovertreding.

Lees dat maar na

Anoniem: 2138998 @RefriedNoodle • 10 juli 2024 16:22

blorf @cariolive23 • 9 juli 2024 22:27

Er is gewoon geen wetgeving. Regeringen hebben zelf belang bij spionage-mogelijkheden van consumenten-apparatuur. Het probleem zou niet eens bestaan als fabrikanten van digitale elektronica verplicht waren om elke vorm van data-uitwisseling met het produkt na de aankoop openbaar te maken.

andru123 @cariolive23 • 10 juli 2024 03:03

Je inloggegevens en prive data stelen is geen wetovertreding?

Vogel666 @andru123 • 10 juli 2024 16:14

Even advocaat van de duivel spelen:

Jij geeft die data toch zelf in?
Jij kiest ervoer om die data in te vullen in een appraraat van linksys.
Dat jij de aanname doet dat die data niet gedeeld zal worden met het backoffice van Linksys....dat is misschien een beetje naief.

En ga dan maar eens je gelijk halen door aan te tonen dat dat niet normaal is.

Pineka @Anoniem: 2138998 • 9 juli 2024 20:01

Verkoopverbod. Doet de VS toch ook met Huawei?

h8bal @thomas_n • 9 juli 2024 15:36

En aan wat voor boete denk je dan? Welke land of organisatie wil je graag dat hierop ageert?
En wil je dan de lokale verkoper beboeten of liever de fabrikant?

Het is makkelijk roepen zonder onderbouwing om een boete maar geef gewoon zelf het goede voorbeeld en laat dergelijke fabrikanten zelf links liggen.

arbraxas @h8bal • 9 juli 2024 16:16

Links laten liggen kan natuurlijk pas nadat het bekend is en dat is nu. Maar hoeveel mensen zullen dit weten op het moment dat ze een nieuwe router nodig zijn?
Verder is het natuurlijk een inkoppertje dat het de fabrikant is die dit veroorzaakt heeft.
En het wie de boete moet opleggen is niet zo moeilijk, lijkt me een uitstekend klusje voor de EU.

Kan die misschien ook direct een firmware afdwingen waarin het probleem wel word opgelost. Die boete zal wel, eerst maar eens het probleem oplossen.

SVMartin @arbraxas • 9 juli 2024 16:25

Misschien afdwingen dat dit binnen 3 maanden wordt opgelost, plus aantonen dat andere producten niet kwetsbaar zijn (pentest rapport van onafhankelijke EUROPESE partij) en anders verbod op verkoop van alle linksys producten. Dan is dat ook mooi in het nieuws. Dit doet meer pijn dan een boete.

h8bal @arbraxas • 9 juli 2024 16:31

Ik ben hier Lo

Links laten liggen kan natuurlijk pas nadat het bekend is en dat is nu. Maar hoeveel mensen zullen dit weten op het moment dat ze een nieuwe router nodig zijn?

En hoeveel van dezelfde mensen weten dat wel wanneer er een boete is uitgedeeld.?

Verder is het natuurlijk een inkoppertje dat het de fabrikant is die dit veroorzaakt heeft.

Inkoppertje? Linksys zal allicht wel een entiteit hebben binnen Europa. Wat ga je doen als het 1 van de 1000 rebranded robotstofzuigers is?

Kan die misschien ook direct een firmware afdwingen waarin het probleem wel word opgelost. Die boete zal wel, eerst maar eens het probleem oplossen.

Dus EU moet zich qua software ook met iedere CVE gaan moeien?

Ik verdedig hier Linksys allesbehalve. Wat mij betreft is het merk de laatste 15-20j enkel maar gezakt op het gebied van kwaliteit. Maar dit is gewoon amateuristisch geklungel. Je hebt het hier over de installatie van hardware op jouw eigen netwerk geen datalek waar een hoop persoonsinformatie publiek is gemaakt.

supersnathan94

@h8bal • 9 juli 2024 17:23

Whitelabel producten is nog steeds de leverancier verantwoordelijk voor. Dus de partij(en) die zijn logo er op plakt is dan de sjaak. Mogen zij het met de whitelabel fabrikant er over in conclaaf.

En ja dat betekent dat een Philips verantwoordelijk is voor gaten bij Signify (philips hue) of TPvision (philips TVs)

arbraxas @h8bal • 9 juli 2024 17:25

Jou verhaal komt neer op, laat maar zitten veel te ingewikkeld. Lijkt me wel de slechste optie.
En nee, EU hoeft zich niet met elke CVE te bemoeien. Alleen die, die het op zon ongelofelijke en ontzettend stomme manier verkloten.
Dat lijkt het me wel gerechtvaardigd om het moederbedrijf door de EU te laten aanpakken.

Mag Linksys zelf ff uitzoeken hoe het zit met hun rebrands op straffe van nog veel grotere boetes. Laat Linksys maar bewijs aanleveren dat ze hun leven gebeterd hebben.

Vogel666 @h8bal • 10 juli 2024 16:25

Ik weet wel zeker dat de EU zich daarmee bemoeit.
De NIS2 wetgeving is namelijk een Europees initatief.
NIS2 verplicht ieder bedrijf om verantwoordelijkheid te nemen op gebied van cybersecurity.
Samengevat "Please, do the needfull" (zoals collega's uit India dat zo mooi kunnen zeggen)

cariolive23 @thomas_n • 9 juli 2024 16:56

Als dit waar is hoop ik op een boete

Welke wet hebben ze dan overtreden?

De laatste keer dat ik in Europa was, kon je lukraak zomaar ergens een boete voor krijgen. Je moest eerst de wet overtreden, vervolgens moest dat worden bewezen en dan pas kreeg je een straf.

Just hit 'em where it hurts, don't buy their products!

edwinjm @cariolive23 • 9 juli 2024 23:20

Welke wet hebben ze dan overtreden?

Artikel 32 van de GDPR:

Art. 32 GDPR Security of processing

[Reactie gewijzigd door edwinjm op 22 juli 2024 14:33]

Vogel666 @cariolive23 • 10 juli 2024 16:27

NIS2 wetgeving zoals die in oktober gaat gelden (met de aanname dat Linksys dit in oktober nog niet gefixt heeft)

shades @thomas_n • 9 juli 2024 17:18

als het kwade opzet is dan in de trend "wat china kan, kunnen wij beter"

Kabouterplop01 @thomas_n • 10 juli 2024 07:07

Ik zou dit geen beveiligingsfout noemen, dit is een moedwillig ingebouwde functie en doet me sterk denken aan een heuse supply chain attack met belangen voor een statelijke actor

Vogel666 @Kabouterplop01 • 10 juli 2024 16:32

Dat is een aanname.
Ik acht de kans waarschijnlijker dat ze je data verzenden om zo'n handige QR code voor je te genereren.

Lang leve microservices op AWS!!!
Lang leve functionaliteit boven security.

Dat je data daar verzameld wordt, is leuke bijvangst.
Waarom zou je illegale moeite doen, als je gewoon kunt vertrouwen op incompentie van anderen?

Kabouterplop01 @Vogel666 • 10 juli 2024 22:18

Klopt is een aanname; het doet me denken aan... Omdat een cyberwapen zeldzaam is...
Dat is het belang.
Deze functie komt niet zomaar uit de lucht vallen

vlaaing peerd 9 juli 2024 15:28

Dat is vrij schandalig als dit echt het geval blijkt te zijn. SSID en wachtwoord in plain text verzenden lijkt me ook niet 'zomaar' een bug, en als het één is, zeer makkelijk te verhelpen moet zijn.

Ik hoop dat t.net hier nog een update over gaan geven.

NEO256 @vlaaing peerd • 9 juli 2024 16:34

Inderdaad, het gaat hier om vertrouwen... dit ding routeert al je netwerk en internet verkeer.
Als dit al het begin is van "je relatie met dit bedrijf", wat gaan we straks nog vinden?

Ze hebben er al een half jaar niks aan gedaan zoals het nu wordt uitgelegd, als dat klopt.
En hier begint het al mee, dan ben ik geneigd om te zeggen, ALLE apparaten van het bedrijf de deur uit en zoeken naar iets anders. Met het idee dat ik een poging gedaan heb om mijn netwerk te beveiligen zonder met een alu hoedje te proberen om alles zelf maar veilig op te lossen.

Christoxz 9 juli 2024 15:31

Voor de duidelijkheid is het iets specifieks met de app van Linksys. Maakt het niet minder erg of gevaarlijk, maar via de webinterface is dit probleem niet.

via de webinterface in plaats van met de app. Hiermee voorkom je dat je wifi-netwerknaam en wachtwoord in leesbare tekst worden gedeeld.

Vraag mij af hoe Testaankoop contact heeft gehad. Hebben zij het ook op de officiele wijze gemeld? (Dus niet via een kantoor van Belgie of VK).

Tevens werkt hun formulier toch niet...

https://www.linksys.com/pages/security
https://www.linksys.com/security-form.html -> 404.

[Reactie gewijzigd door Christoxz op 22 juli 2024 14:33]

vinx77 @Christoxz • 9 juli 2024 16:15

Ik dacht dat je een grapje maakt, maar de 404-link staat inderdaad op de eerste pagina genoemd!

lcdvt 9 juli 2024 17:01

In de artikel update wordt nog benadrukt dat het alleen plaatsvindt bij gebruik van de app, wat een gevoel geeft dat het probleem misschien minder groot is, echter stap 1 van de installation guid is natuurlijk ‘Installeer de App’.
https://downloads.linksys...on%20Guide%20Malaysia.pdf

Market_Watcher @lcdvt • 9 juli 2024 17:06

Ze pushen inderdaad de app, dus moet niet geminimaliseerd worden

mvnieuw 9 juli 2024 15:32

Het is natuurlijk kolder dat de SSID en wachtwoord worden verstuurd naar een Amazon server. Dit gaat niemand anders wat aan, toch?

Dan ben ik toch blij met mijn lokaal beheerde Unifi omgeving die ik lokaal met een CloudKey beheer.

david-v

@mvnieuw • 9 juli 2024 15:56

je hebt met unifi ook de mogelijkheid om via cloud verbinding zaken te regelen wat soms wel nuttig kan zijn als je iets wil regelen en je niet helemaal los wil gaan met site to site VPN om het "lokaal" te kunnen regelen. Maar ik denk dat unifi als je cloud toegang instelt het anders geregeld heeft dan plaintext usernaam en ww te versturen

Vasouris 9 juli 2024 15:33

Dit zijn geen fouten, dit is opzet, maar vooral de vraag waarom.
Het is niet zo dat als je ergens een 1 naar een 0 zet je per ongeluk dan data, en dan ook nog eens deze specifieke, stuurt naar een server.

latka @Vasouris • 9 juli 2024 15:40

Zal wel verkocht worden als "we hebben wat ontwikkelaar debug code laten staan"....

bytemaster460 @Vasouris • 9 juli 2024 18:50

Is geen opzet. Die gegevens gaan sowieso naar Linksys toe als je de clouddienst gebruikt. Probleem is dat het in plain text gebeurt

rjberg @bytemaster460 • 9 juli 2024 21:34

Er is geen reden om dit zo te doen zover ik kan zien. Zelfs in het geval dat de Linksys app wachtwoorden bijhoudt zodat andere apparaten snel gesynct kunnen worden zouden er nog alternatieven moeten zijn die veiliger zijn. Een cryptografisch challange/response mechanisme bevoorbeeld die dan worden ondertekend met een sleutel van een cloud server. Of een one-time code gesynct met het access point.

bytemaster460 @rjberg • 9 juli 2024 21:45

Zeker kan dat maar als het verzamelen van wachtwoorden het primaire doel was zou men gewoon een backdoor in die cloudomgeving maken en het niet op deze klunzige manier doen.

rjberg @bytemaster460 • 9 juli 2024 21:57

Ik snap dat een goede hacker dit slimmer had aangepakt. Een goed bedrijf zou dit ook slimmer doen, legitiem of niet. Toch betwijfel ik of veel mensen die deze dienst gebruiken weten dat hun wachtwoord in de cloud staat.

Ik kan niet zeggen dat hier sprake is van kwade opzet, maar toch voel ik me niet prettig dat kennelijk dit bedrijf geen gevaar ziet met zoveel WIFI wachtwoorden in een database opslaan. Het feit dat de verbinding niet goed beveiligd is toont in mijn ogen aan dat ze roekeloos en/of incompetent zijn met de veiligheid van de klanten, en dus niet met deze informatie vertrouwd moeten worden.

bytemaster460 @rjberg • 10 juli 2024 19:38

De meeste mensen die routers zelf beheren zullen echt wel door hebben dat wanneer ze een app gebruiken ze feitelijk via een cloudysteem werken. Ze hebben immers een account bij Linksys moeten aanmaken.

markg85 9 juli 2024 15:45

De auteur @YannickSpinner had hier we leven bij mogen vermelden dat hetzelfde bron artikel ook zegt dat dit probleem niet via de webinterface is.

Quote:

Misschien ben je al in het bezit van een Velop Pro 6E of 7. Pas dan de naam van je wifi-netwerk (SSID) en het bijbehorende wachtwoord aan via de webinterface in plaats van met de app. Hiermee voorkom je dat je wifi-netwerknaam en wachtwoord in leesbare tekst worden gedeeld.

Oftewel, configureer via de app en je gegevens gaan naar de US. In eerste instantie is een fix hiervoor niet in de firmware maar in de app. Wellicht ook een firmware update, geen idee. Maar lijkt me dat de app wat dingen niet helemaal netjes doet.

Vasouris @markg85 • 9 juli 2024 16:00

Dat is dan opeens toch een ander verhaal ja. Nu lijkt het alsof altijd deze gegevens naar de vs gaan.
Dat het via de app naar een server gaat en dan naar je router kan ik mij nog voorstellen. Dan is de vraag niet waarom überhaupt er gegevens gestuurd worden maar waarom in plaintext (oeps foutje).

markg85 @Vasouris • 9 juli 2024 16:12

Maar dan klinkt het nieuws artikel ook gelijk een stuk milder wat niet goed is voor de kliks en advertentie inkomsten. Dus beter een klein stukje weglaten wat het veel erger laat klinken.

Oke, daar zit wat sarcasme is maar het begint me wel steeds vaker op te vallen hier op tweakers dat bron artikelen best wel meer dan eens (meer dan een uitzondering) net even wat meer informatie bevatten die het artikel - als het wel vermeld was - een andere toon had gegeven.

Auteur

YannickSpinner Redacteur @markg85 • 9 juli 2024 16:21

Dank voor de tag! Ik heb het artikel aangepast. Dat stukje info had ik over het hoofd gezien. Zonder al te veel met vingers te wijzen, ik heb dit niet opgemerkt in het bronartikel, dat deze cruciale informatie niet direct bovenaan vermeldt maar onder het kopje 'Hoe kun je veilig je paswoord veranderen?'. Nogmaals, had ik moeten zien, maar vreemd dat dit juist in het bronartikel begraven is in een bijzin.

markg85 @YannickSpinner • 9 juli 2024 16:39

Top, dankjewel! $_/-\o_$

Market_Watcher @YannickSpinner • 9 juli 2024 17:15

Linksys pushed wel installatie met de app

AnD 9 juli 2024 15:46

Dit versturen ze in plain tekst, maar dan vraag ik me af of er ook merken zijn die data zoals
SSID en wachtwoord naar hun servers sturen maar dan gecodeerd, iets wat een "gewone" gebruiker
niet kan achterhalen of veel moeilijker?

Skit3000

@AnD • 9 juli 2024 15:58

Dit inderdaad. Als iemand opzettelijk zulke gegevens doorstuurt, zou je verwachten dat dit gecodeerd is zodat men het niet kan ontdekken.

Tijdens de installatie verzond de router verschillende gegevenspakketten naar een server van Amazon in de VS. Deze pakketten bevatten de geconfigureerde SSID-naam en -wachtwoord in gewone tekst, en ook enkele identificatietokens voor dit netwerk binnen een bredere database én een toegangstoken voor een gebruikerssessie...

Er staat niets technisch over die "gegevenspakketten". Het zouden bijvoorbeeld ook debuglogs kunnen zijn of zelfs een de gegevens die meegestuurd worden als je op een "ik heb hulp op afstand nodig" link tikt. Of het zit gewoon in de normale telemetrie-data, maar zonder zaken als wachtwoorden er uit te halen.

Uiteindelijk denk ik niet dat Linksys jouw wachtwoord nodig heeft om in hun eigen routers in te kunnen breken.

Jim80 9 juli 2024 16:08

Lang leve OpenWRT

Mijn haar gaat rechtstaan bij het idee dat routers tegenwoordig ook al aan home calls doen...

ibmpc @Jim80 • 9 juli 2024 17:51

Mee eens, lang leve OpenWRT, echter... in sommige gevallen wil ik er juist voor kiezen dat mijn router home calls doet. Maar dan wil ik het vantevoren weten en dan moet het een doel hebben, zoals het kunnen hebben van een thuisrouter en accesspoints zonder eigen controller te hoeven aanschaffen. Het lijkt er niet op dat Linksys aan deze voorwaarden heeft voldaan.

Op dit item kan niet meer gereageerd worden.

Testaankoop: Linksys-routers sturen inloggegevens naar VS in plaintext - update

Lees meer

Reacties (131)

Sorteer op:

Weergave: