2 điểm bởi GN⁺ 2024-07-10 | 2 bình luận | Chia sẻ qua WhatsApp
  • Tổ chức người tiêu dùng Bỉ Testaankoop cho biết các router mesh Linksys Velop Pro 6E và Velop Pro 7 gửi thông tin đăng nhập Wi-Fi dưới dạng văn bản thuần tới máy chủ AWS ở Mỹ
  • Các gói tin được truyền trong quá trình kiểm tra cài đặt chứa SSID và mật khẩu đã cấu hình, token định danh mạng, cùng access token cho phiên người dùng
  • Thử nghiệm được thực hiện trên firmware mới nhất tại thời điểm đó; dù Linksys đã phát hành bản cập nhật firmware sau cảnh báo vào tháng 11/2023, vấn đề vẫn chưa được giải quyết
  • Người dùng bị ảnh hưởng có thể ngăn việc truyền văn bản có thể đọc được bằng cách đổi tên mạng Wi-Fi và mật khẩu qua giao diện web thay vì ứng dụng
  • Testaankoop mạnh mẽ khuyến cáo không mua các mẫu này; do dòng Velop cũng được khuyến nghị cho văn phòng nhỏ, điều này gây lo ngại cho cả môi trường cá nhân lẫn công việc

Các mẫu Velop được xác nhận truyền văn bản thuần

  • Testaankoop, tổ chức người tiêu dùng của Bỉ, xác nhận hai loại router Linksys gửi thông tin đăng nhập Wi-Fi dưới dạng văn bản thuần tới máy chủ AWS của Amazon
  • Các mẫu bị ảnh hưởng là router mesh Linksys Velop Pro 6EVelop Pro 7
  • Trong quá trình kiểm tra cài đặt thông thường, nhiều gói dữ liệu được phát hiện truyền tới máy chủ AWS ở Mỹ
    • Các gói tin chứa tên SSID và mật khẩu đã cấu hình ở dạng văn bản thuần
    • Chúng cũng bao gồm token dùng để định danh mạng trong một cơ sở dữ liệu lớn hơn
    • Access token cho phiên người dùng cũng được gửi kèm
  • Cách truyền này có thể làm tăng khả năng xảy ra tấn công trung gian (MITM)
    • Nếu kẻ tấn công chặn được liên lạc giữa router Linksys và máy chủ Amazon, chúng có thể thu thập SSID và mật khẩu được truyền dưới dạng văn bản thuần
    • Điều này tạo ra nguy cơ đọc hoặc thay đổi tên mạng và mật khẩu, cũng như truy cập trái phép vào mạng

Tình trạng firmware và cách người dùng ứng phó

  • Testaankoop tiến hành kiểm tra với firmware mới nhất có sẵn tại thời điểm thử nghiệm
    • Velop 6E được thử nghiệm nhiều lần, lần cuối trên firmware V 1.0.8 MX6200_1.0.8.215731
    • Velop Pro 7 mới được thử nghiệm trên firmware 1.0.10.215314
  • Linksys đã phát hành bản cập nhật firmware sau cảnh báo đầu tiên vào tháng 11/2023, nhưng các lo ngại do Testaankoop nêu ra vẫn chưa được giải quyết
  • Vấn đề bảo mật có thể bắt nguồn từ phần mềm bên thứ ba được dùng trong firmware Linksys, nhưng Testaankoop cho rằng điều đó không biện minh cho lỗ hổng này
  • Người dùng đã sở hữu các router này được khuyến nghị đổi tên mạng Wi-Fi và mật khẩu qua giao diện web thay vì ứng dụng
    • Biện pháp này là một cách phòng ngừa nhằm ngăn tên SSID và mật khẩu bị truyền dưới dạng văn bản có thể đọc được

Phản hồi của Linksys và khuyến nghị mua hàng

  • Vài ngày trước khi công bố, Testaankoop đã liên hệ lại với Linksys và cho hãng một cơ hội phản hồi ngắn, nhưng không nhận được xác nhận hay giải pháp từ nhà sản xuất
  • Stack Diary cũng đã hỏi Linksys về kế hoạch ứng phó vào ngày 9/7 và tính đến ngày 14/7 vẫn chưa nhận được trả lời
  • Sau quá trình thử nghiệm kéo dài, Testaankoop kết luận rằng họ mạnh mẽ khuyến cáo không mua Linksys Velop Pro WiFi 6E và Pro 7, vì rủi ro xâm nhập mạng và mất dữ liệu là nghiêm trọng
  • Các router mesh như dòng Velop được thiết kế để cải thiện phân phối Wi-Fi trong nhà rộng hoặc nhiều tầng thông qua nhiều node kết nối, nhưng cách truyền dữ liệu của Velop Pro WiFi 6E và Pro 7 làm suy yếu lợi ích bảo mật mà chúng lẽ ra phải cung cấp

2 bình luận

 
halfenif 2024-07-11

Cái cớ là để nhân viên hỗ trợ có thể giúp người dùng quên mật khẩu

À...

 
GN⁺ 2024-07-10
Ý kiến trên Hacker News
  • Đọc các bình luận này thì có vẻ mọi người đều thấy việc gửi mật khẩu lên máy chủ là ổn, chỉ vấn đề ở chỗ không mã hóa thôi sao?
    Ngay từ đầu tôi đã không kỳ vọng mật khẩu sẽ được gửi lên máy chủ

    • Có liên quan ở mức nào đó: một bài viết năm 2013 nói rằng Google biết mật khẩu WiFi trên toàn thế giới: https://www.computerworld.com/article/1496628/android-google...
    • Hoàn toàn không ổn. Tôi cho rằng router không nên gửi bất kỳ dữ liệu nào đến một máy chủ không rõ danh tính, trừ khi người dùng đã cấu hình rõ ràng như vậy
      Một router làm chuyện đó là sản phẩm không phù hợp với mục đích, và thật ra tôi đã không nghĩ router Linksys nói chung là sản phẩm đáng dùng từ vài năm nay rồi
    • Tôi tự hỏi có phải các lập trình viên không đồng ý với chuyện này nên đã cố ý phá ngầm trong nội bộ không
      Dạng văn bản thuần dễ quan sát và dễ bị người ta phát hiện, từ đó tạo ra thiệt hại truyền thông, còn mật khẩu đã mã hóa thì gần như khó truy vết
    • Tôi cũng không thấy ổn. Ngay cả việc yêu cầu dùng ứng dụng điện thoại để cấu hình router cũng đã khiến tôi không thích
    • Bài này nói dài về lỗ hổng tấn công trung gian, nhưng không giải thích vì sao ngay từ đầu lại phải có một bên trung gian, hay vì sao Amazon có quyền đặt một người ở điểm cuối
  • Thông qua cơ chế TR-69, router Verizon FiOS gửi mật khẩu WiFi cục bộ về hệ thống quản lý trung tâm
    Lý do biện minh tôi nghe được là “để nhân viên hỗ trợ có thể giúp người dùng quên mật khẩu” :-/

    • Thành thật mà nói thì khá hợp lý. Thời gian tiết kiệm được cho bộ phận hỗ trợ nhiều khả năng lớn hơn rất nhiều so với chi phí xử lý sự cố bảo mật
    • Không chỉ vậy đâu. Có lẽ gần như mọi nhà cung cấp dịch vụ Internet trên thế giới cấp modem cho khách hàng, dù có tích hợp router WiFi hay không, đều làm chuyện tương tự
      Nói thêm, nếu ứng dụng của nhà cung cấp cho phép đổi mật khẩu của thiết bị họ cấp, thì rất có khả năng mật khẩu đó sẽ được truyền qua lại ở dạng văn bản thuần, ít nhất là bên trong các gói TCP/TLS
    • Đúng là điên rồ hoàn toàn
      Tôi thấy may vì từ trước đến nay đã có thói quen không dùng router do nhà mạng cung cấp
    • Tất cả router WiFi tôi từng dùng đến nay đều có thể hard reset bằng cách giữ nút reset vài giây, rồi WiFi quay về mật khẩu mặc định
      Sau đó chỉ cần đăng nhập vào router và đặt mật khẩu mới
    • Tôi từng nghĩ sự bất tiện của mật khẩu WiFi sẽ được WPS giải quyết
      Nếu tôi là nhà cung cấp dịch vụ Internet và nhận quá nhiều yêu cầu hỗ trợ liên quan đến mật khẩu WiFi, tôi có lẽ sẽ cân nhắc khuyến khích dùng WPS nhiều hơn
  • Tôi thật sự ghét xu hướng ngành router biến từ thiết bị mạng cục bộ ổn định thành thiết bị thông minh
    Kiểu khai thác khách hàng từng thấy ở các ngành khác giờ cũng diễn ra y hệt ở đây. Ví dụ TP Link dùng dark pattern trên router giống các công ty như Roku, rồi sau khi cập nhật điều khoản dịch vụ thì ép người dùng phải chấp nhận trong một popup mới được dùng ứng dụng
    Ứng dụng là cách duy nhất để truy cập hầu hết chức năng cấu hình router, khác với cách trước đây là vào một trang web được bảo vệ bằng mật khẩu để thiết lập. Nếu không chấp nhận điều khoản mới, bạn không còn kiểm soát được chiếc router mà trước đó vẫn kiểm soát
    Hơn nữa, trong ứng dụng, họ liên tục thúc ép dùng thử các dịch vụ vô dụng và không mong muốn bằng các cơ chế dẫn dụ như huy hiệu tròn màu đỏ cạnh mục menu hoặc thành phần giao diện người dùng
    Tôi cũng không ngạc nhiên nếu trong đó có các điều khoản cho phép lạm dụng quyền riêng tư và bảo mật của tôi như Linksys
    Nhưng rồi nên đi đâu? Công ty nào cũng làm như vậy. Có lẽ không làm thế thì không sống nổi. Vì vậy có vẻ cần quy định pháp lý về trách nhiệm đối với vi phạm bảo mật, giới hạn việc lạm dụng điều khoản dịch vụ, v.v.

  • Đây thực sự là văn bản thuần hay là văn bản thuần bên trong HTTPS? Bài viết và tài liệu gốc không nói rõ
    Việc mật khẩu ở dạng “văn bản thuần” bên trong yêu cầu HTTPS là khá phổ biến. Gần như mọi đăng nhập web app đều hoạt động như vậy
    Nếu không phải HTTPS thì ngoài chuyện đưa mật khẩu văn bản thuần vào request, còn có cả đống vấn đề khác
    Nếu là HTTPS thì vấn đề thật sự là mật khẩu không ở lại cục bộ mà được gửi đi đâu đó. Thực hành này gây tranh cãi hơn nhiều, nhưng đáng tiếc cũng là chuyện nhiều router thường làm để hỗ trợ tính năng quản lý qua cloud/ứng dụng

    • Vì sao để hỗ trợ tính năng quản lý thì cloud phải biết mật khẩu WiFi?
      Những lý do tôi nghĩ ra lúc này chỉ là để cấu hình thiết bị thứ hai “tự động” hơn cho mạng mesh, hoặc để sau khi khôi phục cài đặt gốc vẫn dùng cùng mật khẩu. Cả hai đều có giải pháp tốt hơn
      Nếu là để đặt mật khẩu mới thì tôi không hiểu vì sao cần mật khẩu hiện tại; còn nếu dùng mật khẩu WiFi làm thông tin xác thực truy cập quản trị từ xa thì điều đó tệ, vì quyền truy cập mạng của tôi không nên đồng nghĩa với quyền quản trị
      Nếu thật sự cần, có thể làm tốt hơn nhiều bằng cách chỉ gửi mật khẩu đã băm kèm salt đầy đủ
    • Nếu đã chặn bắt được thì nên xem đó là văn bản thuần thật sự
      Vì nếu họ có thể truy cập khóa riêng của chứng chỉ máy chủ Linksys thì đó đã là tin lớn hơn nhiều
  • Tôi ấn tượng là một tổ chức kiểm nghiệm người tiêu dùng lại có đủ chuyên môn kỹ thuật để phát hiện chuyện này
    Đây là vấn đề không thể phát hiện nếu chỉ dùng như người tiêu dùng thông thường; phải chủ động nỗ lực tìm lỗi bảo mật mới nhận ra được

  • Sẽ thật tuyệt nếu các nhà sản xuất router WiFi dùng OpenWRT
    Nếu muốn thì họ có thể khoác giao diện như gli.net, còn tối thiểu phần nền tảng nên dùng OpenWRT. Nó mở, và hoạt động tốt
    Họ vẫn có thể tiếp tục tạo khác biệt sản phẩm bằng cách gắn thêm nhiều ăng-ten hơn rồi cộng tất cả các con số tốc độ lại để trông như thể cực nhanh

    • Vài giờ trước tôi mới biết vì một lý do khác rằng thực tế có ít nhất một nơi làm như vậy. GL.iNet bán các router chạy bản OpenWRT tự build
      https://www.gl-inet.com/support/firmware-versions/
      https://github.com/gl-inet/openwrt
      Và cũng dễ dàng cài OpenWRT nguyên bản bằng cơ chế sysupgrade của OpenWRT
      https://openwrt.org/toh/gl.inet/gl-mt6000#installation
    • Mong Apple hồi sinh cả AirPort
      Nó dễ thiết lập, hiệu năng tốt, cũng có một số tính năng nâng cao, và được cập nhật bảo mật trong nhiều năm
      Khoảng 2 năm trước, khi Fritz!Box bị hỏng, một đồng nghiệp ở văn phòng và tôi lôi chiếc AirPort Extreme cũ ra dùng; nó không chỉ vẫn chạy rất tốt mà với tư cách router 802.11ac cũng vẫn khá cạnh tranh
    • Nếu lo về các yếu tố liên quan đến GPL của Linux thì còn có OpnSense. Tôi thấy nó chạy tốt và danh tiếng cũng khá ổn
      Tôi là kiểu mọt công nghệ đến mức vài năm trước tự dựng router bằng OpnSense, và nó hoạt động thật sự xuất sắc
      Lý do duy nhất tôi bỏ là có một vấn đề không thể đi vòng giữa BSD và một card Broadcom 10Gbe cụ thể; cuối cùng tôi dựng tạm thứ gì đó bằng ClearOS rồi về sau chuyển sang dùng NixOS
    • Tôi chưa từng tự cài theme, nhưng chúng thực sự tồn tại như ở https://openwrt.org/docs/guide-user/luci/luci.themes
      Chẳng có lý do gì là không làm được
    • Nhiều thiết bị GLI.NET dùng SoC chưa được upstream hỗ trợ vào kernel Linux mainline
      Vì vậy mua GLI.NET không đồng nghĩa chắc chắn có được phần cứng chạy “OpenWrt đúng nghĩa”
      Vẫn phải kiểm tra danh sách tương thích phần cứng, hoặc cách tốt và mới hơn là xem danh sách file DTS trong OpenWrt git master hiện tại
  • Vấn đề này không chỉ giới hạn trong dòng sản phẩm Velop
    Khi đang chuyển EA7500 sang openWRT, tôi thấy chính xác cùng loại thông tin được gửi đi trong lúc nó ép đăng nhập qua cổng web mylinksys và cố thiết lập kết nối với máy chủ tại nhà

  • “Dù đã cảnh báo Linksys vào tháng 11, vẫn không có biện pháp hiệu quả nào được thực hiện”
    Tháng 11? Thật là tháng 11 sao? Tất nhiên thời điểm đó có nhiều kỳ nghỉ
    Nhưng nếu nhà cung cấp không chủ động xử lý hoặc trao đổi, tôi nghĩ muộn nhất là cuối tháng 1 chuyện này đã phải được công khai công khai rồi

  • Thật đáng xấu hổ. Không phản hồi suốt nhiều tháng là hành vi chủ động độc hại, và không chỉ một lập trình viên dùng một lần nào đó bị đem ra chịu trách nhiệm, mà cả công ty nên bị xử phạt tương xứng

  • Mong Apple quay lại mảng router WiFi
    Về thái độ với quyền riêng tư và bảo mật, tôi tin Apple hơn hầu hết các thương hiệu khác
    Đáng tiếc là Apple đang bán router Linksys như sản phẩm thay thế cho các sản phẩm cũ của họ

    • Xin lỗi, nhưng chẳng ai quan tâm đến mô hình kinh doanh thuê bao thiết bị cả
      Người ta muốn sở hữu phần cứng của mình
    • Ai làm cũng được, miễn là đáp ứng các điều kiện sau
      Bootloader và mã nguồn của mọi thiết bị onboard phải được công khai
      Phải cung cấp mã nguồn firmware cho mọi NPU, engine offloading và các thiết bị khác trên đường dữ liệu Ethernet
      Kernel Linux mainline phải hỗ trợ boot hoàn toàn không blob, ngoại trừ WiFi/RF
      Có thể bật quyền truy cập TrustZone bằng jumper, và người dùng cuối phải có toàn quyền quản lý khóa
      Sẽ tốt nếu bên trong có sẵn header cổng UART nối tiếp
      Nhưng tôi không nghĩ Apple sẽ thân thiện với người dùng đến mức làm ra một thiết bị có thể dễ dàng cài OpenWrt sau 5 phút mở hộp. Hơn nữa, có lẽ họ sẽ tính giá rất đắt