- Organisasi konsumen Belgia Testaankoop menyatakan bahwa router mesh Linksys Velop Pro 6E dan Velop Pro 7 mengirim informasi login Wi‑Fi dalam bentuk teks biasa ke server AWS di Amerika Serikat
- Paket yang dikirim selama pemeriksaan instalasi mencakup SSID dan kata sandi yang telah dikonfigurasi, token identifikasi jaringan, serta access token untuk sesi pengguna
- Pengujian dilakukan pada firmware terbaru saat itu, dan meskipun Linksys merilis pembaruan firmware setelah peringatan pada November 2023, masalah ini belum terselesaikan
- Pengguna yang terdampak dapat mencegah pengiriman teks yang dapat dibaca dengan mengubah nama jaringan dan kata sandi Wi‑Fi melalui antarmuka web alih-alih aplikasi
- Testaankoop sangat tidak merekomendasikan pembelian model tersebut, dan karena lini Velop juga direkomendasikan untuk kantor kecil, ada kekhawatiran baik untuk lingkungan pribadi maupun kerja
Model Velop yang dipastikan mengirim dalam teks biasa
- Testaankoop, organisasi konsumen Belgia, mengonfirmasi bahwa dua jenis router Linksys mengirim informasi login Wi‑Fi dalam teks biasa ke server Amazon AWS
- Model yang terdampak adalah router mesh Linksys Velop Pro 6E dan Velop Pro 7
- Selama pemeriksaan instalasi rutin, terdeteksi beberapa paket data dikirim ke server AWS di Amerika Serikat
- Paket tersebut berisi nama SSID dan kata sandi yang telah diatur dalam teks biasa
- Juga termasuk token untuk mengidentifikasi jaringan dalam basis data yang lebih besar
- Access token untuk sesi pengguna juga ikut dikirim
- Metode pengiriman ini dapat meningkatkan kemungkinan serangan man-in-the-middle (MITM)
- Jika penyerang mencegat komunikasi antara router Linksys dan server Amazon, mereka dapat menangkap SSID dan kata sandi yang dikirim dalam teks biasa
- Ini menimbulkan risiko pembacaan atau perubahan nama jaringan dan kata sandi, serta akses tidak sah ke jaringan
Status firmware dan respons pengguna
- Testaankoop melakukan pengujian menggunakan firmware terbaru yang tersedia saat itu
- Velop 6E diuji beberapa kali, dan pengujian terakhir dilakukan pada firmware
V 1.0.8 MX6200_1.0.8.215731 - Velop Pro 7 yang baru diuji pada firmware
1.0.10.215314
- Velop 6E diuji beberapa kali, dan pengujian terakhir dilakukan pada firmware
- Linksys merilis pembaruan firmware setelah peringatan pertama pada November 2023, tetapi kekhawatiran yang diajukan Testaankoop belum terselesaikan
- Masalah keamanan ini mungkin berasal dari perangkat lunak pihak ketiga yang digunakan dalam firmware Linksys, tetapi Testaankoop menilai hal itu tidak membenarkan adanya kerentanan tersebut
- Pengguna yang sudah memiliki router ini disarankan mengubah nama jaringan dan kata sandi Wi‑Fi melalui antarmuka web, bukan aplikasi
- Langkah ini merupakan tindakan pencegahan untuk mencegah nama SSID dan kata sandi dikirim sebagai teks yang dapat dibaca
Respons Linksys dan rekomendasi pembelian
- Beberapa hari sebelum publikasi, Testaankoop kembali menghubungi Linksys dan memberi kesempatan singkat untuk merespons, tetapi tidak menerima konfirmasi maupun solusi dari produsen
- Stack Diary juga menanyakan rencana penanganan kepada Linksys pada 9 Juli, dan per 14 Juli belum menerima jawaban
- Setelah pengujian panjang, Testaankoop sangat tidak merekomendasikan pembelian Linksys Velop Pro WiFi 6E dan Pro 7, serta menyimpulkan bahwa risiko intrusi jaringan dan kehilangan data sangat serius
- Router mesh seperti seri Velop dirancang untuk meningkatkan distribusi Wi‑Fi di rumah yang luas atau bertingkat dengan beberapa node koneksi, tetapi cara Velop Pro WiFi 6E dan Pro 7 mengirim data justru melemahkan manfaat keamanan yang seharusnya diberikan
2 komentar
Alasannya, agar staf dukungan bisa membantu pengguna yang lupa kata sandinya
Opini Hacker News
Setelah membaca komentar-komentar ini, apakah semua orang menganggap mengirim kata sandi ke server itu tidak masalah, dan hanya ketiadaan enkripsi yang menjadi masalah?
Sejak awal saya tidak menyangka kata sandi akan dikirim ke server
Router yang melakukan hal seperti itu tidak cocok untuk tujuannya, dan sejujurnya saya sudah beberapa tahun tidak menganggap router Linksys sebagai produk yang secara umum layak dipakai
Teks polos mudah diamati dan orang-orang bisa mengetahuinya sehingga menimbulkan pukulan reputasi, sedangkan kata sandi terenkripsi pada dasarnya sulit dilacak
Melalui mekanisme TR-69, router Verizon FiOS mengirim kata sandi WiFi lokal ke sistem manajemen terpusat
Alasan yang saya dengar adalah “agar petugas dukungan bisa membantu pengguna yang lupa kata sandinya” :-/
Tambahan lagi, jika aplikasi penyedia memungkinkan Anda mengganti kata sandi perangkat yang disediakan, besar kemungkinan kata sandi itu dikirim dalam teks polos setidaknya di dalam paket TCP/TLS
Saya merasa beruntung sudah sejak dulu terbiasa tidak memakai router dari operator
Setelah itu tinggal login ke router dan mengatur kata sandi baru
Kalau saya penyedia layanan internet dan menerima terlalu banyak permintaan dukungan terkait kata sandi WiFi, saya mungkin akan mempertimbangkan untuk lebih banyak menggunakan WPS
Saya benar-benar tidak suka tren industri router yang berubah dari perangkat jaringan lokal yang stabil menjadi perangkat pintar
Eksploitasi pelanggan yang terlihat di industri lain terjadi persis sama di sini. Misalnya TP Link, seperti perusahaan semacam Roku, menggunakan dark pattern di routernya, lalu setelah memperbarui ketentuan layanan memaksa pengguna menyetujuinya lewat pop-up agar bisa memakai aplikasi
Aplikasi adalah satu-satunya cara untuk mengakses sebagian besar fungsi pengaturan router, berbeda dari cara lama dengan membuka halaman web yang dilindungi kata sandi untuk melakukan konfigurasi. Jika tidak menerima ketentuan baru, Anda tidak lagi bisa mengendalikan router yang selama ini Anda kendalikan
Selain itu, di dalam aplikasi mereka terus mendorong uji coba layanan yang tidak berguna dan tidak diinginkan dengan pemicu seperti badge lingkaran merah di sebelah item menu atau elemen antarmuka pengguna
Saya tidak akan terkejut jika ada ketentuan yang memungkinkan penyalahgunaan privasi dan keamanan saya, seperti Linksys
Tapi harus pindah ke mana? Semua perusahaan melakukan ini. Mungkin tanpa ini mereka tidak bisa bertahan. Karena itu tampaknya diperlukan regulasi, seperti pertanggungjawaban atas pelanggaran keamanan dan pembatasan penyalahgunaan ketentuan layanan
Apakah ini benar-benar teks polos, atau teks polos di dalam HTTPS? Artikel dan materi sumbernya tidak menyebutkan
Kata sandi yang berupa “teks polos” di dalam request HTTPS cukup umum. Hampir semua login aplikasi web bekerja seperti itu
Jika bukan HTTPS, selain menaruh kata sandi teks polos di dalam request, ada banyak masalah lain
Jika HTTPS, masalah sebenarnya adalah kata sandi tidak tetap lokal dan dikirim ke suatu tempat. Praktik ini jauh lebih bisa diperdebatkan, tetapi sayangnya banyak router melakukannya untuk mendukung fitur manajemen cloud/aplikasi
Alasan yang terpikir saat ini hanya untuk membuat perangkat kedua dalam konfigurasi mesh menjadi lebih “otomatis”, atau agar kata sandi yang sama tetap dipakai setelah reset pabrik. Keduanya punya solusi yang lebih baik
Jika tujuannya mengatur kata sandi baru, saya tidak mengerti mengapa kata sandi lama diperlukan; dan jika kata sandi WiFi dipakai sebagai kredensial akses manajemen jarak jauh, itu buruk karena hak akses ke jaringan saya tidak seharusnya otomatis menjadi hak administrasi
Jika memang benar-benar diperlukan, ini bisa dibuat jauh lebih baik dengan hanya mengirim kata sandi yang sudah diberi salt secukupnya dan di-hash
Kalau mereka bisa mengakses private key sertifikat server Linksys, itu pasti akan menjadi berita yang jauh lebih besar
Mengesankan bahwa lembaga pengujian konsumen memiliki keahlian teknis yang cukup untuk menemukan ini
Ini masalah yang tidak akan ditemukan jika hanya digunakan seperti konsumen biasa; masalah ini baru bisa diketahui jika sengaja berupaya mencari bug keamanan
Akan sangat bagus kalau produsen router WiFi memakai OpenWRT
Kalau mau, mereka bisa memasang skin seperti gli.net, dan setidaknya memakai OpenWRT sebagai basis. Terbuka dan berfungsi dengan baik
Diferensiasi produk tetap bisa dilakukan dengan cara memasang lebih banyak antena dan menjumlahkan semua angka kecepatannya agar terlihat sangat cepat
https://www.gl-inet.com/support/firmware-versions/
https://github.com/gl-inet/openwrt
Dan memasang OpenWRT murni dengan metode sysupgrade OpenWRT juga mudah
https://openwrt.org/toh/gl.inet/gl-mt6000#installation
Konfigurasinya mudah, performanya bagus, ada beberapa fitur lanjutan, dan mendapat pembaruan keamanan selama bertahun-tahun
Sekitar 2 tahun lalu, ketika Fritz!Box milik rekan kantor dan saya rusak, kami mengeluarkan AirPort Extreme lama, dan bukan hanya masih berjalan sangat baik, tetapi juga masih cukup kompetitif sebagai router 802.11ac
Saya cukup geek sampai pernah membuat router sendiri dengan OpnSense beberapa tahun lalu, dan itu benar-benar berjalan sangat bagus
Satu-satunya alasan saya berhenti adalah adanya masalah yang tidak bisa diakali antara BSD dan kartu Broadcom 10Gbe tertentu; akhirnya saya membuat sesuatu sementara dengan ClearOS, lalu belakangan memakai NixOS
Tidak ada alasan khusus mengapa itu tidak bisa dilakukan
Jadi membeli GLI.NET tidak berarti Anda pasti mendapat hardware yang menjalankan “OpenWrt yang benar-benar layak”
Anda tetap harus memeriksa daftar kompatibilitas hardware, atau cara yang lebih baik dan mutakhir adalah memeriksa daftar file DTS di OpenWrt git master saat ini
Masalah ini tidak terbatas pada lini produk Velop
Saat mengganti EA7500 ke openWRT, saya melihat informasi yang persis sama dikirimkan ketika router memaksa login ke portal web mylinksys dan mencoba membuat koneksi dengan server pusat
“Meskipun Linksys telah diperingatkan pada November, tidak ada langkah efektif yang diambil”
November? November? Memang sekitar waktu itu ada banyak hari libur
Namun jika vendor tidak aktif mengerjakan atau berkomunikasi, menurut saya hal seperti ini seharusnya sudah diungkapkan secara publik paling lambat akhir Januari
Ini memalukan. Tidak merespons selama berbulan-bulan adalah tindakan yang secara aktif jahat, dan seluruh perusahaan harus dihukum sesuai dengan itu, bukan hanya satu developer sekali pakai untuk dijadikan kambing hitam
Saya berharap Apple kembali masuk ke bisnis router WiFi
Dalam hal sikap terhadap privasi dan keamanan, saya lebih memercayai Apple daripada kebanyakan merek lain
Sayangnya, Apple menjual router Linksys sebagai pengganti produk lamanya
Orang ingin memiliki hardware mereka sendiri
Source untuk bootloader dan semua perangkat onboard harus terbuka
Source firmware untuk semua NPU, mesin offloading, dan perangkat lain pada jalur data Ethernet harus disediakan
Kernel Linux mainline harus mendukung boot yang sepenuhnya bebas blob kecuali untuk WiFi/RF
Akses TrustZone harus bisa diaktifkan dengan jumper, dan pengguna akhir harus memiliki pengelolaan kunci penuh
Akan bagus jika di dalamnya terpasang header port UART serial
Namun saya rasa Apple tidak akan membuat perangkat yang seramah pengguna itu sampai OpenWrt bisa dipasang dengan mudah 5 menit setelah dikeluarkan dari kotak. Selain itu, mereka mungkin akan memasang harga mahal