- Testaankoop องค์กรผู้บริโภคของเบลเยียม เปิดเผยว่าเราเตอร์แบบเมช Linksys Velop Pro 6E และ Velop Pro 7 ส่งข้อมูลเข้าสู่ระบบ Wi‑Fi แบบข้อความล้วนไปยังเซิร์ฟเวอร์ AWS ในสหรัฐฯ
- แพ็กเก็ตที่ถูกส่งระหว่างการตรวจสอบการติดตั้งมีทั้ง SSID และรหัสผ่านที่ตั้งค่าไว้, โทเคนระบุเครือข่าย และ access token สำหรับเซสชันของผู้ใช้
- การทดสอบดำเนินการบน เฟิร์มแวร์ล่าสุด ณ เวลานั้น และแม้ Linksys จะออกอัปเดตเฟิร์มแวร์หลังได้รับคำเตือนในเดือนพฤศจิกายน 2023 แต่ปัญหาก็ยังไม่ถูกแก้ไข
- ผู้ใช้ที่ได้รับผลกระทบสามารถเปลี่ยนชื่อเครือข่าย Wi‑Fi และรหัสผ่านผ่าน เว็บอินเทอร์เฟซแทนแอป เพื่อหลีกเลี่ยงการส่งข้อมูลแบบอ่านข้อความได้
- Testaankoop ไม่แนะนำให้ซื้อรุ่นดังกล่าวอย่างยิ่ง และเนื่องจากตระกูล Velop ถูกแนะนำให้ใช้กับสำนักงานขนาดเล็กด้วย จึงน่ากังวลทั้งในสภาพแวดล้อมส่วนบุคคลและการทำงาน
รุ่น Velop ที่ยืนยันว่ามีการส่งข้อมูลแบบข้อความล้วน
- Testaankoop ซึ่งเป็นองค์กรผู้บริโภคของเบลเยียม ยืนยันว่าเราเตอร์ Linksys สองรุ่นส่งข้อมูลเข้าสู่ระบบ Wi‑Fi แบบข้อความล้วนไปยังเซิร์ฟเวอร์ AWS ของ Amazon
- รุ่นที่ได้รับผลกระทบคือเราเตอร์แบบเมช Linksys Velop Pro 6E และ Velop Pro 7
- ระหว่างการตรวจสอบการติดตั้งตามปกติ พบว่ามีการส่งแพ็กเก็ตข้อมูลหลายชุดไปยังเซิร์ฟเวอร์ AWS ในสหรัฐฯ
- ภายในแพ็กเก็ตมีชื่อ SSID และรหัสผ่านที่ตั้งค่าไว้ในรูปแบบข้อความล้วน
- ยังมีโทเคนที่ใช้ระบุเครือข่ายภายในฐานข้อมูลขนาดใหญ่รวมอยู่ด้วย
- และมี access token สำหรับเซสชันของผู้ใช้ถูกส่งไปพร้อมกัน
- วิธีการส่งข้อมูลลักษณะนี้อาจเพิ่มความเป็นไปได้ของการโจมตีแบบ man-in-the-middle (MITM)
- หากผู้โจมตีดักจับการสื่อสารระหว่างเราเตอร์ Linksys กับเซิร์ฟเวอร์ของ Amazon ได้ ก็อาจจับ SSID และรหัสผ่านที่ถูกส่งแบบข้อความล้วนได้
- ทำให้เกิดความเสี่ยงที่จะอ่านหรือเปลี่ยนชื่อเครือข่ายและรหัสผ่าน รวมถึงเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต
สถานะเฟิร์มแวร์และแนวทางรับมือของผู้ใช้
- Testaankoop ระบุว่าการตรวจสอบทำบน เฟิร์มแวร์ล่าสุดที่ใช้งานได้ในขณะทดสอบ
- Velop 6E ถูกทดสอบหลายครั้ง โดยการทดสอบครั้งสุดท้ายทำบนเฟิร์มแวร์
V 1.0.8 MX6200_1.0.8.215731 - Velop Pro 7 รุ่นใหม่ถูกทดสอบบนเฟิร์มแวร์
1.0.10.215314
- Velop 6E ถูกทดสอบหลายครั้ง โดยการทดสอบครั้งสุดท้ายทำบนเฟิร์มแวร์
- Linksys ออกอัปเดตเฟิร์มแวร์หลังจากได้รับคำเตือนครั้งแรกในเดือนพฤศจิกายน 2023 แต่ข้อกังวลที่ Testaankoop ยกขึ้นมาก็ยังไม่ได้รับการแก้ไข
- ปัญหาด้านความปลอดภัยอาจมีต้นตอมาจาก ซอฟต์แวร์ของบุคคลที่สามที่ใช้ในเฟิร์มแวร์ของ Linksys แต่ Testaankoop มองว่านั่นไม่ใช่ข้ออ้างที่ทำให้ช่องโหว่นี้สมเหตุสมผล
- ผู้ใช้ที่มีเราเตอร์รุ่นดังกล่าวอยู่แล้วควรเปลี่ยนชื่อเครือข่าย Wi‑Fi และรหัสผ่านผ่าน เว็บอินเทอร์เฟซแทนแอป
- มาตรการนี้เป็นการป้องกันเพื่อไม่ให้ชื่อ SSID และรหัสผ่านถูกส่งในรูปแบบข้อความที่อ่านได้
การตอบสนองของ Linksys และคำแนะนำในการซื้อ
- Testaankoop ติดต่อ Linksys อีกครั้งไม่กี่วันก่อนเผยแพร่บทความและให้โอกาสตอบกลับสั้น ๆ แต่ไม่ได้รับทั้งการยืนยันหรือแนวทางแก้ไขจากผู้ผลิต
- Stack Diary ก็ได้สอบถาม Linksys เกี่ยวกับแผนรับมือเมื่อวันที่ 9 กรกฎาคม และจนถึงวันที่ 14 กรกฎาคมก็ยังไม่ได้รับคำตอบ
- หลังการทดสอบอย่างยาวนาน Testaankoop สรุปว่าไม่แนะนำอย่างยิ่งให้ซื้อ Linksys Velop Pro WiFi 6E และ Pro 7 โดยเห็นว่าความเสี่ยงด้าน การบุกรุกเครือข่ายและการสูญหายของข้อมูล ร้ายแรง
- เราเตอร์แบบเมชอย่างซีรีส์ Velop ถูกออกแบบมาเพื่อปรับปรุงการกระจายสัญญาณ Wi‑Fi ในบ้านขนาดใหญ่หรือหลายชั้นด้วยโหนดเชื่อมต่อหลายจุด แต่แนวทางการส่งข้อมูลของ Velop Pro WiFi 6E และ Pro 7 กลับบั่นทอนข้อได้เปรียบด้านความปลอดภัยที่ควรมี
2 ความคิดเห็น
ข้ออ้างคือเพื่อให้เจ้าหน้าที่ซัพพอร์ตสามารถช่วยผู้ใช้ที่ลืมรหัสผ่านได้
ความคิดเห็นใน Hacker News
อ่านคอมเมนต์เหล่านี้แล้ว ดูเหมือนทุกคนจะมองว่า การส่งรหัสผ่านไปยังเซิร์ฟเวอร์ นั้นโอเค และมีปัญหาแค่ตรงที่ไม่ได้เข้ารหัสหรือเปล่า?
ตั้งแต่แรกก็ไม่ได้คาดหวังว่ารหัสผ่านจะถูกส่งไปยังเซิร์ฟเวอร์อยู่แล้ว
เราเตอร์ที่ทำแบบนั้นเป็นผลิตภัณฑ์ที่ไม่ตรงตามวัตถุประสงค์ และจริง ๆ แล้วผมก็ไม่ได้คิดว่าเราเตอร์ Linksys เป็นผลิตภัณฑ์ที่ใช้ได้ดีโดยรวมมาหลายปีแล้ว
ข้อความธรรมดาสังเกตเห็นได้ง่ายและผู้คนจับได้ จึงสร้างผลกระทบด้านประชาสัมพันธ์ได้ แต่รหัสผ่านที่เข้ารหัสแล้วแทบจะติดตามได้ยาก
ผ่านกลไก TR-69 เราเตอร์ Verizon FiOS จะส่งรหัสผ่าน WiFi ภายในบ้านไปยังระบบจัดการส่วนกลาง
ข้ออ้างที่ได้ยินคือ “เพื่อให้เจ้าหน้าที่ซัพพอร์ตช่วยผู้ใช้ที่ลืมรหัสผ่านได้” :-/
เพิ่มเติมคือ ถ้าแอปของผู้ให้บริการสามารถเปลี่ยนรหัสผ่านของอุปกรณ์ที่เขาให้มาได้ มีโอกาสสูงว่ารหัสผ่านนั้นจะถูกส่งไปมาเป็นข้อความธรรมดาอย่างน้อยภายในแพ็กเก็ต TCP/TLS
รู้สึกโชคดีที่ติดนิสัยไม่ใช้ เราเตอร์ที่ผู้ให้บริการโทรคมนาคมจัดให้ มาตั้งแต่ก่อนแล้ว
จากนั้นก็ล็อกอินเข้าเราเตอร์แล้วตั้งรหัสผ่านใหม่ได้
ถ้าผมเป็นผู้ให้บริการอินเทอร์เน็ตและได้รับคำขอซัพพอร์ตเรื่องรหัสผ่าน WiFi มากเกินไป ผมคงพิจารณาผลักดันให้ใช้ WPS มากขึ้น
ผมเกลียดจริง ๆ ที่อุตสาหกรรมเราเตอร์เปลี่ยนจากอุปกรณ์เครือข่ายภายในบ้านที่เสถียร ไปเป็น อุปกรณ์อัจฉริยะ
การเอาเปรียบลูกค้าแบบที่เห็นในอุตสาหกรรมอื่นก็เกิดขึ้นเหมือนกันที่นี่ เช่น TP Link ใช้ dark pattern ในเราเตอร์เหมือนบริษัทอย่าง Roku และหลังจากอัปเดตเงื่อนไขการให้บริการแล้วก็บังคับให้กดยอมรับในป๊อปอัปถึงจะใช้แอปได้
แอปเป็นทางเดียวในการเข้าถึงฟังก์ชันตั้งค่าส่วนใหญ่ของเราเตอร์ ซึ่งต่างจากวิธีเดิมที่เข้าเว็บเพจที่มีรหัสผ่านป้องกันเพื่อปรับตั้งค่า ถ้าไม่ยอมรับเงื่อนไขใหม่ ก็จะควบคุมเราเตอร์ที่เคยควบคุมอยู่ไม่ได้อีกต่อไป
แถมในแอปยังคอยผลักดันทดลองใช้บริการไร้ประโยชน์และไม่ต้องการ ด้วยตัวล่ออย่างป้ายวงกลมสีแดงข้างรายการเมนูหรือองค์ประกอบ UI ต่าง ๆ
ต่อให้มีเงื่อนไขที่เปิดทางให้เอาข้อมูลส่วนตัวและความปลอดภัยของผมไปใช้อย่างผิด ๆ แบบ Linksys ก็ไม่น่าแปลกใจ
แล้วควรไปทางไหน? ทุกบริษัทก็ทำแบบนี้กันหมด บางทีถ้าไม่ทำแบบนี้อาจอยู่รอดไม่ได้ด้วยซ้ำ ดังนั้นจึงดูเหมือนว่าจำเป็นต้องมี กฎระเบียบ เช่น ความรับผิดชอบต่อการละเมิดความปลอดภัย และการจำกัดการใช้เงื่อนไขการให้บริการในทางที่ผิด
นี่เป็น ข้อความธรรมดา จริง ๆ หรือเป็นข้อความธรรมดาภายใน HTTPS? ทั้งบทความและแหล่งข้อมูลต้นทางไม่ได้บอกไว้
การที่รหัสผ่านเป็น “ข้อความธรรมดา” อยู่ในคำขอ HTTPS นั้นค่อนข้างปกติ เว็บแอปล็อกอินแทบทั้งหมดทำงานแบบนั้น
ถ้าไม่ใช่ HTTPS ก็มีปัญหาอื่นอีกเพียบ นอกเหนือจากการใส่รหัสผ่านข้อความธรรมดาไว้ในคำขอ
ถ้าเป็น HTTPS ปัญหาที่แท้จริงคือรหัสผ่านไม่ได้อยู่เฉพาะในเครื่อง แต่ถูกส่งไปที่อื่น แนวปฏิบัตินี้เป็นเรื่องที่ถกเถียงได้มากกว่า แต่โชคร้ายที่เราเตอร์จำนวนมากก็ทำกันทั่วไปเพื่อรองรับฟีเจอร์การจัดการผ่านคลาวด์/แอป
เหตุผลที่นึกออกตอนนี้มีแค่เพื่อให้ตั้งค่าอุปกรณ์ตัวที่สองในระบบ mesh ได้ “อัตโนมัติ” มากขึ้น หรือเพื่อให้ยังใช้รหัสผ่านเดิมได้หลังรีเซ็ตเป็นค่าโรงงาน ทั้งสองอย่างมีทางออกที่ดีกว่านี้
ถ้าต้องการตั้งรหัสผ่านใหม่ ผมไม่เข้าใจว่าทำไมต้องใช้รหัสผ่านเดิม และถ้าใช้รหัสผ่าน WiFi เป็นข้อมูลรับรองสำหรับการจัดการระยะไกล นั่นก็แย่ เพราะสิทธิ์เข้าถึงเครือข่ายของผมไม่ควรเท่ากับสิทธิ์ผู้ดูแลระบบ
ถ้าจำเป็นจริง ๆ ก็ทำให้ดีกว่านี้ได้มาก เช่นส่งเฉพาะรหัสผ่านที่ใส่ salt เพียงพอแล้ว hash แล้วเท่านั้น
เพราะถ้าเข้าถึง คีย์ส่วนตัว ของใบรับรองเซิร์ฟเวอร์ Linksys ได้ นั่นคงเป็นข่าวใหญ่กว่านี้มาก
น่าประทับใจที่องค์กรทดสอบผู้บริโภคมี ความเชี่ยวชาญทางเทคนิค พอจะค้นพบเรื่องนี้
ถ้าใช้งานแบบผู้บริโภคทั่วไปคงไม่เจอ และเป็นปัญหาที่จะสังเกตได้ก็ต่อเมื่อตั้งใจพยายามค้นหาบั๊กด้านความปลอดภัย
ถ้าผู้ผลิตเราเตอร์ WiFi หันมาใช้ OpenWRT ก็คงดีมาก
ถ้าต้องการก็ใส่สกินแบบ gli.net ได้ อย่างน้อยใช้ OpenWRT เป็นฐานก็พอ มันเปิดเผยต่อสาธารณะและทำงานได้ดี
ส่วนการสร้างความแตกต่างของผลิตภัณฑ์ก็ยังทำต่อได้ด้วยการติดเสาอากาศให้มากขึ้น แล้วเอาตัวเลขความเร็วทั้งหมดมาบวกกันให้ดูเหมือนว่าเร็วมากจริง ๆ
https://www.gl-inet.com/support/firmware-versions/
https://github.com/gl-inet/openwrt
และการติดตั้ง OpenWRT แบบดั้งเดิมด้วยวิธี sysupgrade ของ OpenWRT ก็ทำได้ง่าย
https://openwrt.org/toh/gl.inet/gl-mt6000#installation
ตั้งค่าง่าย ประสิทธิภาพดี มีฟีเจอร์ขั้นสูงอยู่บ้าง และได้รับอัปเดตความปลอดภัยมาหลายปี
ประมาณ 2 ปีก่อน ตอน Fritz!Box เสีย เพื่อนร่วมออฟฟิศกับผมหยิบ AirPort Extreme เก่า ๆ ออกมาใช้ ซึ่งไม่เพียงยังทำงานได้ดีมาก แต่ในฐานะเราเตอร์ 802.11ac ก็ยังถือว่าแข่งขันได้พอสมควร
ผมเป็นสายกี๊กถึงขั้นเคยประกอบเราเตอร์ด้วย OpnSense เองเมื่อหลายปีก่อน และมันทำงานได้ยอดเยี่ยมจริง ๆ
เหตุผลเดียวที่เลิกใช้คือมีปัญหาที่เลี่ยงไม่ได้ระหว่าง BSD กับการ์ด Broadcom 10Gbe บางรุ่น สุดท้ายเลยทำอะไรสักอย่างแบบชั่วคราวด้วย ClearOS แล้วต่อมาก็หันไปใช้ NixOS
ก็ไม่มีเหตุผลอะไรที่ทำไม่ได้
ดังนั้นการซื้อ GLI.NET ไม่ได้แปลว่าจะได้ฮาร์ดแวร์ที่รัน “OpenWrt ที่ถูกต้อง” อย่างแน่นอน
ยังต้องตรวจสอบรายการความเข้ากันได้ของฮาร์ดแวร์ หรือวิธีที่ดีกว่าและทันสมัยกว่าคือดูรายชื่อไฟล์ DTS ใน OpenWrt git master ปัจจุบัน
ปัญหานี้ไม่ได้จำกัดอยู่แค่ตระกูล Velop
ตอนที่กำลังเปลี่ยน EA7500 ไปใช้ openWRT ผมเห็นว่ามีการส่งข้อมูลชุดเดียวกันเป๊ะ ขณะมันบังคับให้ล็อกอินผ่านเว็บพอร์ทัล mylinksys และพยายามเชื่อมต่อกับโฮมเซิร์ฟเวอร์
“แม้จะแจ้งเตือน Linksys ไปแล้วในเดือนพฤศจิกายน แต่ก็ไม่มีการดำเนินการที่มีประสิทธิผล”
พฤศจิกายน? พฤศจิกายนเนี่ยนะ? แน่นอนว่าช่วงนั้นมีวันหยุดเยอะ
แต่ถ้าผู้ขายไม่ได้ลงมือทำหรือสื่อสารอย่างจริงจัง ผมว่าเรื่องแบบนี้ควรถูก เปิดเผยต่อสาธารณะ อย่างช้าที่สุดก็ปลายเดือนมกราคม
เป็นเรื่องน่าอับอาย การไม่ตอบกลับเป็นเวลาหลายเดือนคือพฤติกรรมที่มีเจตนาร้ายอย่างชัดเจน และทั้งบริษัทควรถูกลงโทษให้สมกับเรื่องนี้ ไม่ใช่โยนความผิดให้ นักพัฒนาใช้แล้วทิ้ง คนหนึ่ง
อยากให้ Apple กลับเข้าสู่ ธุรกิจเราเตอร์ WiFi อีกครั้ง
ในด้านท่าทีเรื่องความเป็นส่วนตัวและความปลอดภัย ผมเชื่อใจ Apple มากกว่าแบรนด์อื่นส่วนใหญ่
น่าเสียดายที่ Apple กำลังขายเราเตอร์ Linksys เป็นตัวแทนผลิตภัณฑ์เก่าของตัวเอง
ผู้คนอยากเป็นเจ้าของฮาร์ดแวร์ของตัวเอง
ซอร์สของ bootloader และอุปกรณ์ออนบอร์ดทั้งหมดต้องเปิดเผยต่อสาธารณะ
ต้องมีซอร์สเฟิร์มแวร์สำหรับ NPU, offloading engine และอุปกรณ์อื่น ๆ ทั้งหมดบนเส้นทางข้อมูล Ethernet
mainline Linux kernel ต้องรองรับการบูตแบบไม่มีบล็อบอย่างสมบูรณ์ ยกเว้น WiFi/RF
ต้องสามารถเปิดการเข้าถึง TrustZone ด้วยจัมเปอร์ได้ และผู้ใช้ปลายทางต้องจัดการคีย์ได้อย่างสมบูรณ์
ถ้ามีเฮดเดอร์พอร์ต serial UART ติดตั้งอยู่ภายในก็จะดี
แต่ดูไม่น่าเป็นไปได้ที่ Apple จะทำอุปกรณ์ที่เป็นมิตรกับผู้ใช้ขนาดนี้ จนติดตั้ง OpenWrt ได้ง่าย ๆ ภายใน 5 นาทีหลังแกะกล่อง แถมคงตั้งราคาสูงอีกด้วย