- Tổ chức người tiêu dùng Bỉ Testaankoop cho biết các router mesh Linksys Velop Pro 6E và Velop Pro 7 gửi thông tin đăng nhập Wi-Fi dưới dạng văn bản thuần tới máy chủ AWS ở Mỹ
- Các gói tin được truyền trong quá trình kiểm tra cài đặt chứa SSID và mật khẩu đã cấu hình, token định danh mạng, cùng access token cho phiên người dùng
- Thử nghiệm được thực hiện trên firmware mới nhất tại thời điểm đó; dù Linksys đã phát hành bản cập nhật firmware sau cảnh báo vào tháng 11/2023, vấn đề vẫn chưa được giải quyết
- Người dùng bị ảnh hưởng có thể ngăn việc truyền văn bản có thể đọc được bằng cách đổi tên mạng Wi-Fi và mật khẩu qua giao diện web thay vì ứng dụng
- Testaankoop mạnh mẽ khuyến cáo không mua các mẫu này; do dòng Velop cũng được khuyến nghị cho văn phòng nhỏ, điều này gây lo ngại cho cả môi trường cá nhân lẫn công việc
Các mẫu Velop được xác nhận truyền văn bản thuần
- Testaankoop, tổ chức người tiêu dùng của Bỉ, xác nhận hai loại router Linksys gửi thông tin đăng nhập Wi-Fi dưới dạng văn bản thuần tới máy chủ AWS của Amazon
- Các mẫu bị ảnh hưởng là router mesh Linksys Velop Pro 6E và Velop Pro 7
- Trong quá trình kiểm tra cài đặt thông thường, nhiều gói dữ liệu được phát hiện truyền tới máy chủ AWS ở Mỹ
- Các gói tin chứa tên SSID và mật khẩu đã cấu hình ở dạng văn bản thuần
- Chúng cũng bao gồm token dùng để định danh mạng trong một cơ sở dữ liệu lớn hơn
- Access token cho phiên người dùng cũng được gửi kèm
- Cách truyền này có thể làm tăng khả năng xảy ra tấn công trung gian (MITM)
- Nếu kẻ tấn công chặn được liên lạc giữa router Linksys và máy chủ Amazon, chúng có thể thu thập SSID và mật khẩu được truyền dưới dạng văn bản thuần
- Điều này tạo ra nguy cơ đọc hoặc thay đổi tên mạng và mật khẩu, cũng như truy cập trái phép vào mạng
Tình trạng firmware và cách người dùng ứng phó
- Testaankoop tiến hành kiểm tra với firmware mới nhất có sẵn tại thời điểm thử nghiệm
- Velop 6E được thử nghiệm nhiều lần, lần cuối trên firmware
V 1.0.8 MX6200_1.0.8.215731 - Velop Pro 7 mới được thử nghiệm trên firmware
1.0.10.215314
- Velop 6E được thử nghiệm nhiều lần, lần cuối trên firmware
- Linksys đã phát hành bản cập nhật firmware sau cảnh báo đầu tiên vào tháng 11/2023, nhưng các lo ngại do Testaankoop nêu ra vẫn chưa được giải quyết
- Vấn đề bảo mật có thể bắt nguồn từ phần mềm bên thứ ba được dùng trong firmware Linksys, nhưng Testaankoop cho rằng điều đó không biện minh cho lỗ hổng này
- Người dùng đã sở hữu các router này được khuyến nghị đổi tên mạng Wi-Fi và mật khẩu qua giao diện web thay vì ứng dụng
- Biện pháp này là một cách phòng ngừa nhằm ngăn tên SSID và mật khẩu bị truyền dưới dạng văn bản có thể đọc được
Phản hồi của Linksys và khuyến nghị mua hàng
- Vài ngày trước khi công bố, Testaankoop đã liên hệ lại với Linksys và cho hãng một cơ hội phản hồi ngắn, nhưng không nhận được xác nhận hay giải pháp từ nhà sản xuất
- Stack Diary cũng đã hỏi Linksys về kế hoạch ứng phó vào ngày 9/7 và tính đến ngày 14/7 vẫn chưa nhận được trả lời
- Sau quá trình thử nghiệm kéo dài, Testaankoop kết luận rằng họ mạnh mẽ khuyến cáo không mua Linksys Velop Pro WiFi 6E và Pro 7, vì rủi ro xâm nhập mạng và mất dữ liệu là nghiêm trọng
- Các router mesh như dòng Velop được thiết kế để cải thiện phân phối Wi-Fi trong nhà rộng hoặc nhiều tầng thông qua nhiều node kết nối, nhưng cách truyền dữ liệu của Velop Pro WiFi 6E và Pro 7 làm suy yếu lợi ích bảo mật mà chúng lẽ ra phải cung cấp
2 bình luận
Cái cớ là để nhân viên hỗ trợ có thể giúp người dùng quên mật khẩu
Ý kiến trên Hacker News
Đọc các bình luận này thì có vẻ mọi người đều thấy việc gửi mật khẩu lên máy chủ là ổn, chỉ vấn đề ở chỗ không mã hóa thôi sao?
Ngay từ đầu tôi đã không kỳ vọng mật khẩu sẽ được gửi lên máy chủ
Một router làm chuyện đó là sản phẩm không phù hợp với mục đích, và thật ra tôi đã không nghĩ router Linksys nói chung là sản phẩm đáng dùng từ vài năm nay rồi
Dạng văn bản thuần dễ quan sát và dễ bị người ta phát hiện, từ đó tạo ra thiệt hại truyền thông, còn mật khẩu đã mã hóa thì gần như khó truy vết
Thông qua cơ chế TR-69, router Verizon FiOS gửi mật khẩu WiFi cục bộ về hệ thống quản lý trung tâm
Lý do biện minh tôi nghe được là “để nhân viên hỗ trợ có thể giúp người dùng quên mật khẩu” :-/
Nói thêm, nếu ứng dụng của nhà cung cấp cho phép đổi mật khẩu của thiết bị họ cấp, thì rất có khả năng mật khẩu đó sẽ được truyền qua lại ở dạng văn bản thuần, ít nhất là bên trong các gói TCP/TLS
Tôi thấy may vì từ trước đến nay đã có thói quen không dùng router do nhà mạng cung cấp
Sau đó chỉ cần đăng nhập vào router và đặt mật khẩu mới
Nếu tôi là nhà cung cấp dịch vụ Internet và nhận quá nhiều yêu cầu hỗ trợ liên quan đến mật khẩu WiFi, tôi có lẽ sẽ cân nhắc khuyến khích dùng WPS nhiều hơn
Tôi thật sự ghét xu hướng ngành router biến từ thiết bị mạng cục bộ ổn định thành thiết bị thông minh
Kiểu khai thác khách hàng từng thấy ở các ngành khác giờ cũng diễn ra y hệt ở đây. Ví dụ TP Link dùng dark pattern trên router giống các công ty như Roku, rồi sau khi cập nhật điều khoản dịch vụ thì ép người dùng phải chấp nhận trong một popup mới được dùng ứng dụng
Ứng dụng là cách duy nhất để truy cập hầu hết chức năng cấu hình router, khác với cách trước đây là vào một trang web được bảo vệ bằng mật khẩu để thiết lập. Nếu không chấp nhận điều khoản mới, bạn không còn kiểm soát được chiếc router mà trước đó vẫn kiểm soát
Hơn nữa, trong ứng dụng, họ liên tục thúc ép dùng thử các dịch vụ vô dụng và không mong muốn bằng các cơ chế dẫn dụ như huy hiệu tròn màu đỏ cạnh mục menu hoặc thành phần giao diện người dùng
Tôi cũng không ngạc nhiên nếu trong đó có các điều khoản cho phép lạm dụng quyền riêng tư và bảo mật của tôi như Linksys
Nhưng rồi nên đi đâu? Công ty nào cũng làm như vậy. Có lẽ không làm thế thì không sống nổi. Vì vậy có vẻ cần quy định pháp lý về trách nhiệm đối với vi phạm bảo mật, giới hạn việc lạm dụng điều khoản dịch vụ, v.v.
Đây thực sự là văn bản thuần hay là văn bản thuần bên trong HTTPS? Bài viết và tài liệu gốc không nói rõ
Việc mật khẩu ở dạng “văn bản thuần” bên trong yêu cầu HTTPS là khá phổ biến. Gần như mọi đăng nhập web app đều hoạt động như vậy
Nếu không phải HTTPS thì ngoài chuyện đưa mật khẩu văn bản thuần vào request, còn có cả đống vấn đề khác
Nếu là HTTPS thì vấn đề thật sự là mật khẩu không ở lại cục bộ mà được gửi đi đâu đó. Thực hành này gây tranh cãi hơn nhiều, nhưng đáng tiếc cũng là chuyện nhiều router thường làm để hỗ trợ tính năng quản lý qua cloud/ứng dụng
Những lý do tôi nghĩ ra lúc này chỉ là để cấu hình thiết bị thứ hai “tự động” hơn cho mạng mesh, hoặc để sau khi khôi phục cài đặt gốc vẫn dùng cùng mật khẩu. Cả hai đều có giải pháp tốt hơn
Nếu là để đặt mật khẩu mới thì tôi không hiểu vì sao cần mật khẩu hiện tại; còn nếu dùng mật khẩu WiFi làm thông tin xác thực truy cập quản trị từ xa thì điều đó tệ, vì quyền truy cập mạng của tôi không nên đồng nghĩa với quyền quản trị
Nếu thật sự cần, có thể làm tốt hơn nhiều bằng cách chỉ gửi mật khẩu đã băm kèm salt đầy đủ
Vì nếu họ có thể truy cập khóa riêng của chứng chỉ máy chủ Linksys thì đó đã là tin lớn hơn nhiều
Tôi ấn tượng là một tổ chức kiểm nghiệm người tiêu dùng lại có đủ chuyên môn kỹ thuật để phát hiện chuyện này
Đây là vấn đề không thể phát hiện nếu chỉ dùng như người tiêu dùng thông thường; phải chủ động nỗ lực tìm lỗi bảo mật mới nhận ra được
Sẽ thật tuyệt nếu các nhà sản xuất router WiFi dùng OpenWRT
Nếu muốn thì họ có thể khoác giao diện như gli.net, còn tối thiểu phần nền tảng nên dùng OpenWRT. Nó mở, và hoạt động tốt
Họ vẫn có thể tiếp tục tạo khác biệt sản phẩm bằng cách gắn thêm nhiều ăng-ten hơn rồi cộng tất cả các con số tốc độ lại để trông như thể cực nhanh
https://www.gl-inet.com/support/firmware-versions/
https://github.com/gl-inet/openwrt
Và cũng dễ dàng cài OpenWRT nguyên bản bằng cơ chế sysupgrade của OpenWRT
https://openwrt.org/toh/gl.inet/gl-mt6000#installation
Nó dễ thiết lập, hiệu năng tốt, cũng có một số tính năng nâng cao, và được cập nhật bảo mật trong nhiều năm
Khoảng 2 năm trước, khi Fritz!Box bị hỏng, một đồng nghiệp ở văn phòng và tôi lôi chiếc AirPort Extreme cũ ra dùng; nó không chỉ vẫn chạy rất tốt mà với tư cách router 802.11ac cũng vẫn khá cạnh tranh
Tôi là kiểu mọt công nghệ đến mức vài năm trước tự dựng router bằng OpnSense, và nó hoạt động thật sự xuất sắc
Lý do duy nhất tôi bỏ là có một vấn đề không thể đi vòng giữa BSD và một card Broadcom 10Gbe cụ thể; cuối cùng tôi dựng tạm thứ gì đó bằng ClearOS rồi về sau chuyển sang dùng NixOS
Chẳng có lý do gì là không làm được
Vì vậy mua GLI.NET không đồng nghĩa chắc chắn có được phần cứng chạy “OpenWrt đúng nghĩa”
Vẫn phải kiểm tra danh sách tương thích phần cứng, hoặc cách tốt và mới hơn là xem danh sách file DTS trong OpenWrt git master hiện tại
Vấn đề này không chỉ giới hạn trong dòng sản phẩm Velop
Khi đang chuyển EA7500 sang openWRT, tôi thấy chính xác cùng loại thông tin được gửi đi trong lúc nó ép đăng nhập qua cổng web mylinksys và cố thiết lập kết nối với máy chủ tại nhà
“Dù đã cảnh báo Linksys vào tháng 11, vẫn không có biện pháp hiệu quả nào được thực hiện”
Tháng 11? Thật là tháng 11 sao? Tất nhiên thời điểm đó có nhiều kỳ nghỉ
Nhưng nếu nhà cung cấp không chủ động xử lý hoặc trao đổi, tôi nghĩ muộn nhất là cuối tháng 1 chuyện này đã phải được công khai công khai rồi
Thật đáng xấu hổ. Không phản hồi suốt nhiều tháng là hành vi chủ động độc hại, và không chỉ một lập trình viên dùng một lần nào đó bị đem ra chịu trách nhiệm, mà cả công ty nên bị xử phạt tương xứng
Mong Apple quay lại mảng router WiFi
Về thái độ với quyền riêng tư và bảo mật, tôi tin Apple hơn hầu hết các thương hiệu khác
Đáng tiếc là Apple đang bán router Linksys như sản phẩm thay thế cho các sản phẩm cũ của họ
Người ta muốn sở hữu phần cứng của mình
Bootloader và mã nguồn của mọi thiết bị onboard phải được công khai
Phải cung cấp mã nguồn firmware cho mọi NPU, engine offloading và các thiết bị khác trên đường dữ liệu Ethernet
Kernel Linux mainline phải hỗ trợ boot hoàn toàn không blob, ngoại trừ WiFi/RF
Có thể bật quyền truy cập TrustZone bằng jumper, và người dùng cuối phải có toàn quyền quản lý khóa
Sẽ tốt nếu bên trong có sẵn header cổng UART nối tiếp
Nhưng tôi không nghĩ Apple sẽ thân thiện với người dùng đến mức làm ra một thiết bị có thể dễ dàng cài OpenWrt sau 5 phút mở hộp. Hơn nữa, có lẽ họ sẽ tính giá rất đắt