Noch ein kurzer Nachtrag von Mitte Juli 2024 – ein Blog-Leser hat mich darüber informiert, dass Linksys-Router unverschlüsselt Zugangsdaten und Kennwort an US-Server schicken. Das Ganze macht die Router anfällig für Hacker, wenn es gelingt, die Kommunikation abzufangen. Hier ganz kurz ein Überblick, um was es geht.
Anzeige
Blog-Leser Michael V. hatte mich Mitte Juli 2024 per E-Mail auf den belgischen Blog-Beitrag Router van Linksys maakt je kwetsbaar voor hackers hingewiesen. Die Velop Pro WiFi 6E und Pro 7 Mesh-Router von Linksys verbessern die Verbreitung des WLAN-Signals. Allerdings kommen diese Router mit einem bösen Beifang. Denn bei der Installation senden die Geräte Ihre Daten an einen Server in den USA. Dies umfasst auch die Login-Daten einschließlich des Passworts. Und noch schlimmer, diese Daten werden auf eine unsichere Art und Weise per http übertragen.
Produkte im Sicherheitstest aufgefallen
Das Ganze ist im Rahmen eines Sicherheitstests aufgefallen, bei dem ein Sicherheitsforscher bei drei Produkten ernsthafte Probleme bei der Datenübertragung festgestellt hat. Es handelt sich um folgende Produkte, die getestet wurden:
- Linksys Velop Pro WiFi 6E MX6201-KE (1 Pack)
- Linksys Velop Pro WiFi 6E MX6203-KE (3er-Pack)
- Linksys Velop Pro 7 (3er-Pack)
Problematisch sind die Produkte Velop Pro 6E und den Velop Pro 7, die während der Inbetriebnahme gehackt werden können.
Unverschlüsselte Daten gehen an Amzon
Beim Sicherheitstest ist aufgefallen, dass die genannten Produkte während der Installation mehrere Datenpakete an einen Amazon-Server in den USA sendet. Diese Pakete enthielten den konfigurierten SSID-Namen und das Passwort im Klartext sowie einige Identifizierungs-Token für dieses Netzwerk, sowie ein Zugriffstoken für eine Benutzersitzung, die möglicherweise einen Man-in-the-Middle (MITM)-Angriff ermöglichen könnte. Ein Angreifer, der die Kommunikation mitschneidet, kann so die Zugangsdaten ermitteln und den Router übernehmen.
Anzeige
Die von den Artikelautoren getesteten Velop 6E und 7 Router hatten die neueste Firmware. Das Velop 6E wurde mehrmals getestet, zuletzt mit der Firmware V 1.0.8 MX6200_1.0.8.215731 und das neue Velop Pro 7 wurde mit der Firmware 1.0.10.215314 getestet.
Das Passwort sicher ändern
Die Sicherheitsforscher geben Besitzern der Router Velop Pro 6E und Velop Pro 7 daher den Tipp, den Wi-Fi-Netzwerknamen (SSID) und das zugehörige Passwort über die Weboberfläche des Routers zu ändern. Es darf keinesfalls die App von Linksys verwendet werden. Nur durch diesen Kniff wird verhindert, dass der Wi-Fi-Netzwerkname und das Passwort in lesbarem Text weitergegeben werden.
Linksys reagiert nicht
Die Sicherheitsforscher schreiben, dass sie Linksys bereits im November 2023 in Belgien und im Vereinigten Königreich erfolglos kontaktiert haben. Monate später gab es ein neues Firmware-Update, in dem das Problem immer noch vorhanden war. Und die Produkte werden immer noch international auf allen wichtigen Plattformen verkauft. Auch der Nachfolger des Produkts (der neueste Linksys 7 Pro) hat die gleichen Probleme.
Die Sicherheitsforscher haben den Hersteller einige Tage vor ihrer Veröffentlichung erneut benachrichtigt und ihm zwei Tage Zeit gegeben, um zu antworten. Auch das war erfolglos, weshalb die Artikelautoren vermuten, dass das Sicherheitsproblem in der Software von Drittanbietern begründet ist, die Linksys in ihrer Firmware verwendet. Aktuell raten die Autoren wegen der fehlenden Reaktion vom Kauf von Linksys-Produkten ab. Deckt sich auch mit meinem Bauchgefühl, keine Router von diesem Hersteller einzusetzen.
Anzeige
Sicher nur ein Softwarefehler, kann man nichts machen.
Man lehnt sich vermutlich nicht zu weit aus dem Fenster, wenn man bei allen Routern und Switches von verschiedenen Backdoors auf allen Ebenen ausgeht.
Immerhin ist es kein "Chinamüll mit Spyware!"… 😂
Jeder Router dürfte Spyware enthalten, in der Software und auch der Firmware verschiedener Chips, die eigentliche Frage ist nur von wievielen interessierten und teils auch konkurrierenden Diensten…
Gesegnet, wer eine dedizierte Firewall hat und sie einzurichten weiss. So ein Router braucht ja selbst (seine IP) gar keinen Internetzugriff und so versiert und interessiert (Inkaufnahme des notwendigen Overheads), es dann von random IPs aus dem Subnet zu versuchen werden die wenigsten Angreifer sein.
Auch jede dedizierte Firewall dürfte Spyware enthalten, in der Software und auch der Firmware verschiedener Chips, die eigentliche Frage ist nur von wievielen interessierten und teils auch konkurrierenden Diensten…
Das nützt der Malware aber wiederum wenig, denn der Paranoide betreibt selbstredend eine IP-lose bridging firewall (config an der Konsole, per KVM/IP bzw. per Filetransfer auf phys. Medien). 😉
Du verstehst offenbar nicht, solche Spyware steckt auch tief in der Hardware, in der Firmware der Baseband Chips der Netzwerkkomponenten, in der CPU selbst usw.
Eher verstehen Sie es nicht: Wie will diese Spyware denn kommunizieren, wenn das Gerät keine IP-Adresse hat?
Es gibt nicht nur TCP/IP als Netzwerkprotokoll. ;)
Beispielsweise IPX/SPX wurde früher bei Novell benutzt.
Bei Windows wurde früher NetBEUI benutzt, WfW 3 kann z.B. von Haus aus gar kein TCP/IP.
Was hindert die Hersteller daran, in die Hardware propretiäre Netzwerkprotokolle zu implementieren?
Da laufen dann auch Netzwerksniffer ins Leere, da die das Protokoll nicht kennen.
Ich würde ja sehr gerne etwas aus der Diskussion lernen, geht es also bitte etwas konkreter?
Ganz konkret: Welches Protokoll soll die Malware wie nutzen, das auch im Internet geroutet wird?
Woher bekommt sie ihre Adresse und woher kennen die transferierenden Hops die Routen?
Ein Beispiel von ganz offen bekannten solchen Dingen wäre die https://en.wikipedia.org/wiki/Intel_Management_Engine
In anderen Chips stecken sicher ähnliche Dinge.
Ist es wirklich so schwer, eine simple Frage nicht mit FUD oder Derailing, sondern ganz konkreten Aussagen zu beantworten?
"Welches Protokoll soll die Malware wie nutzen, das auch im Internet geroutet wird?
Woher bekommt sie ihre Adresse und woher kennen die transferierenden Hops die Routen?"
IME (iLO, iDRAC, iPRO…) kenne ich und weiss um ihre Stärken und Schwächen. Keine von ihnen arbeitet ohne IP-Adresse (lasse mich auch da gerne eines Besseren belehren, aber dann mit seriöser Quelle) und DHCP gibt es in diesem Netzsegment nicht.
Sie können sich sicher sein, dass Kommunikation dieser Art Spyware an allem was Sie sich an Schutz vorstellen können, direkt vorbeimarschiert oder mit sonstiger Kommunikation unerkannt ein Stück mitfährt. Da Sie OOB Kommunikation lt. Ihrer Aufzählung generell kennen, können Sie sich sicher vorstellen, dass es auch noch völlig andere, niemals und nirgends dokumentierte Varianten davon gibt.
…und wieder nur FUD, Geraune, vage Andeutungen…
Kommen Sie wieder, wenn sie Fakten haben (die sie mit seriösen Quellen belegen).
Bis dahin vielen Dank für die Diskussion!
Bis anhin dachte ich ja oft, ich sei paranoid. Offenbar bin ich aber vom Endstadium noch Einiges entfernt. 👍
Könnte es ein schlecht implementiertes Backdoor für irgendeinen Geheimdienst sein ?
Gehört Linksys nicht irgendwo zu Cisco? Ich meine mich zu erinnern, dass das die "Consumer-Sparte" von Cisco wurde, nachdem die die gekauft haben. Da würde mich sowas nicht wirklich wundern, Cisco ist ja durchaus dafür bekannt arg nach Hause zu telefonieren. Ein Grund warum ich kein Equipment von denen einsetze.
2003: Cisco übernimmt Linksys
2013: Cisco verkauft Linksys an Belkin
2018: Foxconn kauft Belkin
Wer nicht OpenWRT benutzt ist selbst schuld.
Jain, so einfach ist das nicht. Am Beispiel von GL-Inet (openWRT mit aufgesetztem GL-I-Frontend und idR mitgeliefertem LuCi):
Vieles, das im GL-Interface (für Laien) gut erklärt und nur 1 oder 2 Schritte Aufwand ist lässt sich in LuCi nur deutlich umständlicher und mit deutlich mehr Hintergrund-/Fachwissen sauber konfigurieren*, von der Shell für 'Profis' wollen wir da gar nicht erst anfangen.
Für (Hobby-)ITler und Solche, die es werden wollen, mag also openWRT eine gute Wahl sein, für Otto Normal ist es das mMn leider eher nicht.
* Ich kenne im SoHo-Bereich eigentlich nur noch diese irrwitzige Mikrotik-Firmware (hiess sie Router OS?), die noch umständlicher als openWRT/LuCi wäre (dafür ist Mikrotik unheimlich flexibel und und feinteilig konfigurierbar, aber das braucht man im SoHo-Bereich seltenst. Mein HAP ac lite verstaubt jedenfalls im Regal).
"Die Sicherheitsforscher schreiben, dass sie Linksys bereits im November 2023 in Belgien und im Vereinigten Königreich erfolglos kontaktiert haben. Monate später gab es ein neues Firmware-Update, in dem das Problem immer noch vorhanden war."
Ja, mit Fehlern melden ist es so eine Sache… Ich weiß kein großes Unternehmen (Privatkunden) wo sowas ansatzweise funktioniert.
[Kunde]: Ich habe ein Geräte von Ihnen gekauft, das Gerät hat folgenden Fehler…. 3 Monate getestet. Ich vermute das Problem liegt daran, betrifft vmtl. die gesamte Modellreihe.
[Support]: Haben Sie eine von uns empfohlene SD Karte benutzt?
[Kunde]: Nein, aber so wie der Fehler ausschaut/äußert wird dies nicht das Problem sein.
[Kunde]: Kauft für 20€ neue SD Karte. Problem, tritt immer noch auf.
[Kunde]: Ich habe eine entsprechende SD Karte gekauft, das Problem tritt immer noch auf.
[Support]: Sie können das Gerät zur Überprüfung einschicken
[Support]: Es wurde kein Problem festgestellt
[Kunde]: Was haben Sie geprüft?
[Support]: Keine Ahnung, Sie können das Gerät noch mal einschicken wir senden Ihnen dann Ersatz.
[Kunde]: Das wird nichts bringen, weil…
[Support]: Nach Rücksprache mit unserer Abteilung liegt der Fehler bei….
[Kunde]: *denkt sich* Die Erklärung macht keinen Sinn und widerspricht der Fehlerbeschreibung.
[Kunde]: Der Neue Artikel hat auch den Fehler
[Support]: Wir Erstatten Ihnen das Geld
[Kunde]: Wird der Fehler genauer untersucht?
[Support]: Sie können ihr Gerät gerne zur Überprüfung einschicken.
Die Quelle bleibt tlw. unpräzise. Hier im Artikel wird der Begriff "Ihre Daten" genutzt. Der Versuch zu präziseren: Datentransfer zu Amazon-Server in plain text bei:
Die Datenausleitung mit Personen-beziehbaren und Netz-identifizierenden Daten ohne Zustimmung ist schlimm genug. Recht auf Sperren, Löschen o. Korrigieren: Defacto nicht umsetzbar da Verarbeitung nicht bekannt, zugestimmt oder im Ausland bei non-EU-AV's. Unklar bleibt, um welche(s) Passwort(e) es sich in Summe handelt, unklar ebenso welche Art von Identifizierung. Nach meinem Verständnis ist "das WLAN-Passwort" gemeint. Andere Tokens für Network-Identification oder Access müsste man genauer betrachten, die o.g. "broader Database" wird nicht spezifiziert.
"Testaankoop" sieht weitere kritische Optionen: "messages, such as your e-mail may be read and changed" (Wo und wie taucht Email-Adresse in Datentransfer auf?). Auf ungesicherter Leitung ist Risiko durchaus denkbar. Doch: Dazu müssten wir uns die Quelldaten der Analyse anschauen. Die (wohl) unsichere Speicherung auf AWS wäre mE sogar kritischer als die plain-text Übertragung an sich. Denn dort lägen alle Daten der Router-User … Zig unklare Fragezeichen bleiben für mich persönlich: Wieso wird dies überhaupt so implementiert, wozu ist es nötig, warum reagiert Linksys nicht? Nur mit einer sauberen Dokumentation (vollständige Mitschnitte Datenpakete, Vorgehen) wäre es mE zielführend, dies auch an die jeweiligen DSB's als Beschwerde weiterzuleiten.
Über den Sinn und Zweck der Datenübermittlung kann man ja streiten,
aber hier jetzt Angst vor einem Hackerangriff zu haben ist schon etwas Paranoid.
Dazu müsste der Hacker genau wissen, wann jemand seinen Router einrichtet, die IP kennen und den Angriff starten.
Die Chance darauf ist doch sehr gering!
… oder Zugriff auf den Server haben, auf dem diese Daten dann abgelegt werden.
sofern die Daten dort überhaupt hinkommen.
Und genau das ist der Punkt.
Jemand kauf sich solch ein Gerät, legt es sich zu Hause hin, da er keine Zeit zum Einrichten hat.
Dann findet er irgendwann die Zeit und richtet es ein.
Der Hacker bzw. Angreifer müsste genau wissen, wer solch ein Gerät kauft, und wann er es einrichtet.
Dann müsste der Angreifer sich irgendwie zwischen Router und Server schalten, um den Angriff überhaupt durchzuführen.
Und dann schnell die Daten abgreifen und sich dorthin verbinden, bevor das Opfer eine neue IP bekommt.
Sofern das Gerät überhaupt eine Verbindung von außen zulässt.
In diesem Angriff sind so viele hätte, wäre, wenn, dass die begründete Angst davor bei nahezu 0 liegt.
Überlegen Sie: Wenn solche übermittlungsmöglichkeiten vorhanden sind, sind vielleicht auch andere triggermöglichkeiten zum start der übermittlung und/oder der einstellung/änderung des übermittlungsziels vorhanden?
Wer weiß, ob nicht in allen Routern dieser Welt solche Optionen vorhanden sind.
Sollte man sich deshalb nie mehr einen Router kaufen?
Wie ich oben schon geschrieben habe, die Möglichkeit eines Angriffes in dieser Variante ist so verschwindend gering.