Linksys Velopルーター、Wi‑Fiパスワードを平文で米国サーバーに送信
(stackdiary.com)- ベルギーの消費者団体 Testaankoop は、Linksys Velop Pro 6E と Velop Pro 7 のメッシュルーターが Wi‑Fi のログイン情報を 平文 で米国の AWS サーバーに送信していると明らかにした
- セットアップ確認中に送信されたパケットには、設定された SSID とパスワード、ネットワーク識別トークン、ユーザーセッション用のアクセストークンが含まれていた
- テストは当時の 最新ファームウェア で実施され、Linksys は 2023 年 11 月の警告後にファームウェア更新を出したが、問題は解決されていない
- 影響を受けるユーザーは、アプリではなく Web インターフェース から Wi‑Fi ネットワーク名とパスワードを変更すれば、可読なテキストでの送信を防げる
- Testaankoop はこれらのモデルの購入を強く推奨せず、Velop 製品群が小規模オフィスにも推奨されている点から、個人・業務環境の両方で懸念がある
平文送信が確認された Velop モデル
- ベルギーの消費者団体 Testaankoop は、2 種類の Linksys ルーターが Wi‑Fi のログイン情報を平文で Amazon AWS サーバー に送信していることを確認した
- 対象モデルは Linksys Velop Pro 6E と Velop Pro 7 のメッシュルーター
- 通常のセットアップ確認中に、米国の AWS サーバーへ複数のデータパケットが送信されていることが検出された
- パケットには、設定された SSID 名とパスワードが平文で含まれていた
- より大きなデータベース内でネットワークを識別するトークンも含まれていた
- ユーザーセッション用のアクセストークンもあわせて送信されていた
- この送信方式は中間者攻撃(MITM)の可能性を高める恐れがある
- 攻撃者が Linksys ルーターと Amazon サーバー間の通信を傍受すれば、平文で送信される SSID とパスワードを取得できる
- ネットワーク名とパスワードを読み取ったり変更したりし、ネットワークへ不正アクセスされるリスクが生じる
ファームウェアの状況とユーザー対応
- Testaankoop は、テスト当時に利用可能だった 最新ファームウェア で検証を実施した
- Velop 6E は複数回テストされ、最後のテストは
V 1.0.8 MX6200_1.0.8.215731ファームウェアで行われた - 新しい Velop Pro 7 は
1.0.10.215314ファームウェアでテストされた
- Velop 6E は複数回テストされ、最後のテストは
- Linksys は 2023 年 11 月の最初の警告後にファームウェア更新を公開したが、Testaankoop が提起した懸念は解消されていない
- このセキュリティ問題は Linksys ファームウェアで使用された サードパーティ製ソフトウェア に起因した可能性があるが、Testaankoop はそれが脆弱性の正当化にはならないと見ている
- すでに対象ルーターを所有しているユーザーには、アプリではなく Web インターフェース で Wi‑Fi ネットワーク名とパスワードを変更することが推奨される
- これは、SSID 名とパスワードが可読なテキストとして送信されるのを防ぐための予防策である
Linksys の対応と購入推奨
- Testaankoop は公開の数日前に Linksys に再び連絡して短い回答機会を与えたが、メーカーから確認や解決策は得られなかった
- Stack Diary も 7 月 9 日に Linksys に対応計画を問い合わせたが、7 月 14 日時点で回答を得られていない
- 長期のテストを経て、Testaankoop は Linksys Velop Pro WiFi 6E と Pro 7 の購入を強く推奨せず、ネットワーク侵入とデータ損失 のリスクは深刻だと結論づけた
- Velop シリーズのようなメッシュルーターは、複数の接続ノードで広い家や多層階住宅の Wi‑Fi カバレッジを改善するよう設計されているが、Velop Pro WiFi 6E と Pro 7 のデータ送信方式は、本来提供すべきセキュリティ上の利点を損なっている
2件のコメント
サポート担当者がパスワードを忘れたユーザーを支援できるようにするため、という言い訳
Hacker Newsのコメント
これらのコメントを読むと、みんな パスワードをサーバーに送ること自体は構わず、暗号化されていないことだけが問題だと見ているのだろうか?
そもそもパスワードがサーバーに送信されるとは想定していない
そんなことをするルーターは目的に合っていない製品であり、実際Linksysのルーターはもう数年前から全体的に使うに値する製品だとは思っていなかった
平文なら簡単に観測されて人々に見つけられ、PR面で打撃になるが、暗号化されたパスワードは事実上追跡が難しい
TR-69 の仕組みによって、Verizon FiOSルーターはローカルWiFiパスワードを中央管理システムに送っている
聞いた言い訳は「パスワードを忘れたユーザーをサポート担当者が助けられるようにするため」だった :-/
付け加えると、プロバイダーのアプリで提供機器のパスワードを変更できるなら、そのパスワードは高い確率で少なくともTCP/TLSパケットの中では平文でやり取りされているはずだ
昔から 通信事業者提供ルーター を使わない習慣があってよかったと感じる
そのあとルーターにログインして新しいパスワードを設定すればいい
自分がインターネットサービスプロバイダーで、WiFiパスワード関連のサポート依頼が多すぎるなら、WPSをもっと使う方向を考えると思う
ルーター業界が、安定したローカルネットワーク機器ではなく スマートデバイス に変わってしまった流れが本当に嫌だ
他業界で見てきた顧客搾取がここでもまったく同じように起きている。たとえばTP-LinkはRokuのような会社と同様にルーターでダークパターンを使い、利用規約を更新したあと、アプリを使うにはポップアップで同意するよう強制する
アプリはルーター設定機能の大半にアクセスする唯一の方法で、以前のようにパスワード保護されたWebページにアクセスして設定する方式とは違う。新しい規約を受け入れなければ、これまで制御していたルーターをもう制御できなくなる
しかもアプリ内では、メニュー項目やUI要素の横にある赤い丸いバッジのような誘導手段で、不要で望んでもいないサービスの試用版を延々と押し付けてくる
Linksysのように、私の個人情報やセキュリティを悪用できるようにする規約が入っていても驚かない
ではどこへ行けばいいのか? どの会社もこうしている。おそらくこれなしでは生き残れないのかもしれない。だからこそ、セキュリティ侵害に対する責任や利用規約の乱用制限のような 規制 が必要に思える
これは実際に 平文 なのか、それともHTTPSの中の平文なのか? 記事と元資料では語られていない
パスワードがHTTPSリクエストの中で「平文」であること自体はかなり一般的だ。ほとんどすべてのWebアプリのログインがそう動作する
HTTPSでないなら、リクエストに平文パスワードを入れること以外にも問題が山ほどある
HTTPSなら本当の問題は、パスワードがローカルに留まらずどこかへ送信される点だ。この慣行ははるかに議論の余地があるが、残念ながら多くのルーターがクラウド/アプリ管理機能をサポートするためによく行っていることでもある
今思いつく理由は、メッシュ構成のために2台目の機器をもっと「自動的に」設定するか、工場出荷時リセット後も同じパスワードを使えるようにする場合くらいだ。どちらにももっとよい解決策がある
新しいパスワードを設定したいだけなら、なぜ既存のパスワードが必要なのか分からないし、リモート管理の認証情報としてWiFiパスワードを使うのだとしたら、自分のネットワークへのアクセス権がそのまま管理権限になってはいけないので良くない
本当に必要なら、十分にソルトを加えてハッシュ化したパスワードだけを送る形にするなど、はるかにましにできる
Linksysサーバー証明書の 秘密鍵 にアクセスできていたなら、そちらのほうがよほど大ニュースだったはずだから
消費者テスト機関がこれを見つけ出せるだけの 技術的専門性 を持っていた点が印象的だ
消費者のように使っているだけでは発見できず、セキュリティバグを見つけるために意図的に努力して初めて分かる問題だった
WiFiルーターのメーカーは OpenWRT を使ってくれると本当にいいのにと思う
必要なら gli.net のようにスキンをかぶせればいいし、少なくとも基盤は OpenWRT を使うべき。公開されているし、ちゃんと動く
製品の差別化は、アンテナをもっとたくさん付けて速度の数字を全部足し合わせて、いかにも速そうに見せるようなやり方で引き続きできる
https://www.gl-inet.com/support/firmware-versions/
https://github.com/gl-inet/openwrt
そして OpenWRT の sysupgrade 方式で純正 OpenWRT を入れるのも簡単だ
https://openwrt.org/toh/gl.inet/gl-mt6000#installation
設定が簡単で、性能も良く、高度な機能もいくつかあり、何年にもわたってセキュリティアップデートを受けられた
2年ほど前、オフィスの同僚と私の Fritz!Box が壊れたときに古い AirPort Extreme を引っ張り出したが、いまだに非常によく動いただけでなく、802.11ac ルーターとしてもかなり競争力があった
数年前には自分で OpnSense でルーターを作ったくらいの変人だが、本当に素晴らしく動いた
やめた唯一の理由は、BSD と特定の Broadcom 10Gbe カードの間に回避不能な問題があったからで、結局 ClearOS で何かを間に合わせて、その後は NixOS を使うようになった
できない理由は特にない
したがって GLI.NET を買ったからといって、「まともな OpenWrt」が動くハードウェアを確実に手に入れられるわけではない
依然としてハードウェア互換性リストを確認するか、より良くて新しい方法として、現在の OpenWrt git master の DTS ファイル一覧を確認する必要がある
この問題は Velop 製品群に限った話ではない
EA7500 を openWRT に入れ替えていたとき、mylinksys の Web ポータルへのログインを強制し、ホームサーバーとの接続を張ろうとしながら、まったく同じ情報が送信されるのを見た
「11月に Linksys に警告したにもかかわらず、効果的な措置は取られなかった」
11月? 11月だって? たしかにその時期は休日が多いけど
それでも、企業が積極的に対応したり連絡を取ったりしていないなら、こういうものは遅くとも1月末までには 完全公開 されるべきだったと思う
恥ずべきことだ。何か月も応答しないのは積極的に悪質な行為であり、責任を押しつけるための 使い捨て開発者 1人ではなく、会社全体がそれに見合った処罰を受けるべきだ
Apple には снова WiFi ルーター事業 に戻ってきてほしい
プライバシーとセキュリティへの姿勢については、他のほとんどのブランドより Apple を信頼している
残念ながら Apple は以前の製品の代替として Linksys ルーターを販売している
人々は自分のハードウェアを所有したいのだ
ブートローダーとすべてのオンボードデバイスのソースが公開されていること
すべての NPU、オフロードエンジン、イーサネットのデータパス上にあるその他のデバイスについて、ファームウェアのソースが提供されること
メインライン Linux カーネルが WiFi/RF を除いて完全に blob なしのブートをサポートしていること
ジャンパーで TrustZone へのアクセスを有効化でき、エンドユーザーが完全な鍵管理を行えること
内部にシリアル UART ポートヘッダーが実装されているとなお良い
とはいえ Apple がそんなにユーザーフレンドリーで、箱から出して5分で OpenWrt を簡単に入れられる機器を作るとは思えない。しかもおそらく高額になるだろう