2 คะแนน โดย GN⁺ 2024-07-10 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • Testaankoop องค์กรผู้บริโภคของเบลเยียม เปิดเผยว่าเราเตอร์แบบเมช Linksys Velop Pro 6E และ Velop Pro 7 ส่งข้อมูลเข้าสู่ระบบ Wi‑Fi แบบข้อความล้วนไปยังเซิร์ฟเวอร์ AWS ในสหรัฐฯ
  • แพ็กเก็ตที่ถูกส่งระหว่างการตรวจสอบการติดตั้งมีทั้ง SSID และรหัสผ่านที่ตั้งค่าไว้, โทเคนระบุเครือข่าย และ access token สำหรับเซสชันของผู้ใช้
  • การทดสอบดำเนินการบน เฟิร์มแวร์ล่าสุด ณ เวลานั้น และแม้ Linksys จะออกอัปเดตเฟิร์มแวร์หลังได้รับคำเตือนในเดือนพฤศจิกายน 2023 แต่ปัญหาก็ยังไม่ถูกแก้ไข
  • ผู้ใช้ที่ได้รับผลกระทบสามารถเปลี่ยนชื่อเครือข่าย Wi‑Fi และรหัสผ่านผ่าน เว็บอินเทอร์เฟซแทนแอป เพื่อหลีกเลี่ยงการส่งข้อมูลแบบอ่านข้อความได้
  • Testaankoop ไม่แนะนำให้ซื้อรุ่นดังกล่าวอย่างยิ่ง และเนื่องจากตระกูล Velop ถูกแนะนำให้ใช้กับสำนักงานขนาดเล็กด้วย จึงน่ากังวลทั้งในสภาพแวดล้อมส่วนบุคคลและการทำงาน

รุ่น Velop ที่ยืนยันว่ามีการส่งข้อมูลแบบข้อความล้วน

  • Testaankoop ซึ่งเป็นองค์กรผู้บริโภคของเบลเยียม ยืนยันว่าเราเตอร์ Linksys สองรุ่นส่งข้อมูลเข้าสู่ระบบ Wi‑Fi แบบข้อความล้วนไปยังเซิร์ฟเวอร์ AWS ของ Amazon
  • รุ่นที่ได้รับผลกระทบคือเราเตอร์แบบเมช Linksys Velop Pro 6E และ Velop Pro 7
  • ระหว่างการตรวจสอบการติดตั้งตามปกติ พบว่ามีการส่งแพ็กเก็ตข้อมูลหลายชุดไปยังเซิร์ฟเวอร์ AWS ในสหรัฐฯ
    • ภายในแพ็กเก็ตมีชื่อ SSID และรหัสผ่านที่ตั้งค่าไว้ในรูปแบบข้อความล้วน
    • ยังมีโทเคนที่ใช้ระบุเครือข่ายภายในฐานข้อมูลขนาดใหญ่รวมอยู่ด้วย
    • และมี access token สำหรับเซสชันของผู้ใช้ถูกส่งไปพร้อมกัน
  • วิธีการส่งข้อมูลลักษณะนี้อาจเพิ่มความเป็นไปได้ของการโจมตีแบบ man-in-the-middle (MITM)
    • หากผู้โจมตีดักจับการสื่อสารระหว่างเราเตอร์ Linksys กับเซิร์ฟเวอร์ของ Amazon ได้ ก็อาจจับ SSID และรหัสผ่านที่ถูกส่งแบบข้อความล้วนได้
    • ทำให้เกิดความเสี่ยงที่จะอ่านหรือเปลี่ยนชื่อเครือข่ายและรหัสผ่าน รวมถึงเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต

สถานะเฟิร์มแวร์และแนวทางรับมือของผู้ใช้

  • Testaankoop ระบุว่าการตรวจสอบทำบน เฟิร์มแวร์ล่าสุดที่ใช้งานได้ในขณะทดสอบ
    • Velop 6E ถูกทดสอบหลายครั้ง โดยการทดสอบครั้งสุดท้ายทำบนเฟิร์มแวร์ V 1.0.8 MX6200_1.0.8.215731
    • Velop Pro 7 รุ่นใหม่ถูกทดสอบบนเฟิร์มแวร์ 1.0.10.215314
  • Linksys ออกอัปเดตเฟิร์มแวร์หลังจากได้รับคำเตือนครั้งแรกในเดือนพฤศจิกายน 2023 แต่ข้อกังวลที่ Testaankoop ยกขึ้นมาก็ยังไม่ได้รับการแก้ไข
  • ปัญหาด้านความปลอดภัยอาจมีต้นตอมาจาก ซอฟต์แวร์ของบุคคลที่สามที่ใช้ในเฟิร์มแวร์ของ Linksys แต่ Testaankoop มองว่านั่นไม่ใช่ข้ออ้างที่ทำให้ช่องโหว่นี้สมเหตุสมผล
  • ผู้ใช้ที่มีเราเตอร์รุ่นดังกล่าวอยู่แล้วควรเปลี่ยนชื่อเครือข่าย Wi‑Fi และรหัสผ่านผ่าน เว็บอินเทอร์เฟซแทนแอป
    • มาตรการนี้เป็นการป้องกันเพื่อไม่ให้ชื่อ SSID และรหัสผ่านถูกส่งในรูปแบบข้อความที่อ่านได้

การตอบสนองของ Linksys และคำแนะนำในการซื้อ

  • Testaankoop ติดต่อ Linksys อีกครั้งไม่กี่วันก่อนเผยแพร่บทความและให้โอกาสตอบกลับสั้น ๆ แต่ไม่ได้รับทั้งการยืนยันหรือแนวทางแก้ไขจากผู้ผลิต
  • Stack Diary ก็ได้สอบถาม Linksys เกี่ยวกับแผนรับมือเมื่อวันที่ 9 กรกฎาคม และจนถึงวันที่ 14 กรกฎาคมก็ยังไม่ได้รับคำตอบ
  • หลังการทดสอบอย่างยาวนาน Testaankoop สรุปว่าไม่แนะนำอย่างยิ่งให้ซื้อ Linksys Velop Pro WiFi 6E และ Pro 7 โดยเห็นว่าความเสี่ยงด้าน การบุกรุกเครือข่ายและการสูญหายของข้อมูล ร้ายแรง
  • เราเตอร์แบบเมชอย่างซีรีส์ Velop ถูกออกแบบมาเพื่อปรับปรุงการกระจายสัญญาณ Wi‑Fi ในบ้านขนาดใหญ่หรือหลายชั้นด้วยโหนดเชื่อมต่อหลายจุด แต่แนวทางการส่งข้อมูลของ Velop Pro WiFi 6E และ Pro 7 กลับบั่นทอนข้อได้เปรียบด้านความปลอดภัยที่ควรมี

2 ความคิดเห็น

 
halfenif 2024-07-11

ข้ออ้างคือเพื่อให้เจ้าหน้าที่ซัพพอร์ตสามารถช่วยผู้ใช้ที่ลืมรหัสผ่านได้

อ่า...

 
GN⁺ 2024-07-10
ความคิดเห็นใน Hacker News
  • อ่านคอมเมนต์เหล่านี้แล้ว ดูเหมือนทุกคนจะมองว่า การส่งรหัสผ่านไปยังเซิร์ฟเวอร์ นั้นโอเค และมีปัญหาแค่ตรงที่ไม่ได้เข้ารหัสหรือเปล่า?
    ตั้งแต่แรกก็ไม่ได้คาดหวังว่ารหัสผ่านจะถูกส่งไปยังเซิร์ฟเวอร์อยู่แล้ว

    • เกี่ยวข้องอยู่บ้าง: บทความปี 2013 ที่บอกว่า Google รู้รหัสผ่าน WiFi ทั่วโลก: https://www.computerworld.com/article/1496628/android-google...
    • ไม่โอเคเลยแม้แต่น้อย ผมคิดว่าเราเตอร์ไม่ควร ส่งข้อมูลใด ๆ ไปยังเซิร์ฟเวอร์ที่ไม่รู้ที่มา เว้นแต่ผู้ใช้จะตั้งค่าไว้อย่างชัดเจน
      เราเตอร์ที่ทำแบบนั้นเป็นผลิตภัณฑ์ที่ไม่ตรงตามวัตถุประสงค์ และจริง ๆ แล้วผมก็ไม่ได้คิดว่าเราเตอร์ Linksys เป็นผลิตภัณฑ์ที่ใช้ได้ดีโดยรวมมาหลายปีแล้ว
    • ผมสงสัยว่านักพัฒนาอาจไม่เห็นด้วยกับเรื่องนี้ เลยทำ การขัดขวางโดยเจตนา ภายในหรือเปล่า
      ข้อความธรรมดาสังเกตเห็นได้ง่ายและผู้คนจับได้ จึงสร้างผลกระทบด้านประชาสัมพันธ์ได้ แต่รหัสผ่านที่เข้ารหัสแล้วแทบจะติดตามได้ยาก
    • ผมก็ไม่โอเคเหมือนกัน แม้แต่การบังคับให้ ใช้แอปมือถือ เพื่อตั้งค่าเราเตอร์ก็ไม่ชอบแล้ว
    • บทความนี้พูดถึง ช่องโหว่การโจมตีแบบคนกลาง อย่างยืดยาว แต่ไม่ได้อธิบายเลยว่าทำไมตั้งแต่แรกต้องมีคนกลาง หรือทำไม Amazon ถึงมีสิทธิ์วางคนไว้ที่ปลายทาง
  • ผ่านกลไก TR-69 เราเตอร์ Verizon FiOS จะส่งรหัสผ่าน WiFi ภายในบ้านไปยังระบบจัดการส่วนกลาง
    ข้ออ้างที่ได้ยินคือ “เพื่อให้เจ้าหน้าที่ซัพพอร์ตช่วยผู้ใช้ที่ลืมรหัสผ่านได้” :-/

    • พูดตรง ๆ ก็สมเหตุสมผลพอสมควร เวลาที่ประหยัดได้ในการซัพพอร์ตน่าจะมากกว่าค่าใช้จ่ายในการจัดการเหตุการณ์ด้านความปลอดภัยมาก
    • คงไม่ใช่แค่นั้น อาจเป็นไปได้ว่า ผู้ให้บริการอินเทอร์เน็ต แทบทุกแห่งทั่วโลกที่จัดหาโมเด็มให้ลูกค้า ไม่ว่าจะมีเราเตอร์ WiFi ในตัวหรือไม่ ก็คงทำแบบเดียวกัน
      เพิ่มเติมคือ ถ้าแอปของผู้ให้บริการสามารถเปลี่ยนรหัสผ่านของอุปกรณ์ที่เขาให้มาได้ มีโอกาสสูงว่ารหัสผ่านนั้นจะถูกส่งไปมาเป็นข้อความธรรมดาอย่างน้อยภายในแพ็กเก็ต TCP/TLS
    • เป็นเรื่องบ้าบอสุด ๆ
      รู้สึกโชคดีที่ติดนิสัยไม่ใช้ เราเตอร์ที่ผู้ให้บริการโทรคมนาคมจัดให้ มาตั้งแต่ก่อนแล้ว
    • เราเตอร์ WiFi ทุกตัวที่เคยใช้มา แค่กดปุ่มรีเซ็ตค้างไว้ไม่กี่วินาทีก็จะเป็นการ ฮาร์ดรีเซ็ต และ WiFi จะกลับไปใช้รหัสผ่านเริ่มต้น
      จากนั้นก็ล็อกอินเข้าเราเตอร์แล้วตั้งรหัสผ่านใหม่ได้
    • ผมนึกว่า WPS น่าจะเป็นทางออกสำหรับความยุ่งยากของรหัสผ่าน WiFi
      ถ้าผมเป็นผู้ให้บริการอินเทอร์เน็ตและได้รับคำขอซัพพอร์ตเรื่องรหัสผ่าน WiFi มากเกินไป ผมคงพิจารณาผลักดันให้ใช้ WPS มากขึ้น
  • ผมเกลียดจริง ๆ ที่อุตสาหกรรมเราเตอร์เปลี่ยนจากอุปกรณ์เครือข่ายภายในบ้านที่เสถียร ไปเป็น อุปกรณ์อัจฉริยะ
    การเอาเปรียบลูกค้าแบบที่เห็นในอุตสาหกรรมอื่นก็เกิดขึ้นเหมือนกันที่นี่ เช่น TP Link ใช้ dark pattern ในเราเตอร์เหมือนบริษัทอย่าง Roku และหลังจากอัปเดตเงื่อนไขการให้บริการแล้วก็บังคับให้กดยอมรับในป๊อปอัปถึงจะใช้แอปได้
    แอปเป็นทางเดียวในการเข้าถึงฟังก์ชันตั้งค่าส่วนใหญ่ของเราเตอร์ ซึ่งต่างจากวิธีเดิมที่เข้าเว็บเพจที่มีรหัสผ่านป้องกันเพื่อปรับตั้งค่า ถ้าไม่ยอมรับเงื่อนไขใหม่ ก็จะควบคุมเราเตอร์ที่เคยควบคุมอยู่ไม่ได้อีกต่อไป
    แถมในแอปยังคอยผลักดันทดลองใช้บริการไร้ประโยชน์และไม่ต้องการ ด้วยตัวล่ออย่างป้ายวงกลมสีแดงข้างรายการเมนูหรือองค์ประกอบ UI ต่าง ๆ
    ต่อให้มีเงื่อนไขที่เปิดทางให้เอาข้อมูลส่วนตัวและความปลอดภัยของผมไปใช้อย่างผิด ๆ แบบ Linksys ก็ไม่น่าแปลกใจ
    แล้วควรไปทางไหน? ทุกบริษัทก็ทำแบบนี้กันหมด บางทีถ้าไม่ทำแบบนี้อาจอยู่รอดไม่ได้ด้วยซ้ำ ดังนั้นจึงดูเหมือนว่าจำเป็นต้องมี กฎระเบียบ เช่น ความรับผิดชอบต่อการละเมิดความปลอดภัย และการจำกัดการใช้เงื่อนไขการให้บริการในทางที่ผิด

  • นี่เป็น ข้อความธรรมดา จริง ๆ หรือเป็นข้อความธรรมดาภายใน HTTPS? ทั้งบทความและแหล่งข้อมูลต้นทางไม่ได้บอกไว้
    การที่รหัสผ่านเป็น “ข้อความธรรมดา” อยู่ในคำขอ HTTPS นั้นค่อนข้างปกติ เว็บแอปล็อกอินแทบทั้งหมดทำงานแบบนั้น
    ถ้าไม่ใช่ HTTPS ก็มีปัญหาอื่นอีกเพียบ นอกเหนือจากการใส่รหัสผ่านข้อความธรรมดาไว้ในคำขอ
    ถ้าเป็น HTTPS ปัญหาที่แท้จริงคือรหัสผ่านไม่ได้อยู่เฉพาะในเครื่อง แต่ถูกส่งไปที่อื่น แนวปฏิบัตินี้เป็นเรื่องที่ถกเถียงได้มากกว่า แต่โชคร้ายที่เราเตอร์จำนวนมากก็ทำกันทั่วไปเพื่อรองรับฟีเจอร์การจัดการผ่านคลาวด์/แอป

    • ทำไมการรองรับฟีเจอร์จัดการถึงต้องให้ คลาวด์รู้รหัสผ่าน WiFi ด้วย?
      เหตุผลที่นึกออกตอนนี้มีแค่เพื่อให้ตั้งค่าอุปกรณ์ตัวที่สองในระบบ mesh ได้ “อัตโนมัติ” มากขึ้น หรือเพื่อให้ยังใช้รหัสผ่านเดิมได้หลังรีเซ็ตเป็นค่าโรงงาน ทั้งสองอย่างมีทางออกที่ดีกว่านี้
      ถ้าต้องการตั้งรหัสผ่านใหม่ ผมไม่เข้าใจว่าทำไมต้องใช้รหัสผ่านเดิม และถ้าใช้รหัสผ่าน WiFi เป็นข้อมูลรับรองสำหรับการจัดการระยะไกล นั่นก็แย่ เพราะสิทธิ์เข้าถึงเครือข่ายของผมไม่ควรเท่ากับสิทธิ์ผู้ดูแลระบบ
      ถ้าจำเป็นจริง ๆ ก็ทำให้ดีกว่านี้ได้มาก เช่นส่งเฉพาะรหัสผ่านที่ใส่ salt เพียงพอแล้ว hash แล้วเท่านั้น
    • ถ้าดักจับมาได้ ก็ควรถือว่าเป็นข้อความธรรมดาจริง ๆ
      เพราะถ้าเข้าถึง คีย์ส่วนตัว ของใบรับรองเซิร์ฟเวอร์ Linksys ได้ นั่นคงเป็นข่าวใหญ่กว่านี้มาก
  • น่าประทับใจที่องค์กรทดสอบผู้บริโภคมี ความเชี่ยวชาญทางเทคนิค พอจะค้นพบเรื่องนี้
    ถ้าใช้งานแบบผู้บริโภคทั่วไปคงไม่เจอ และเป็นปัญหาที่จะสังเกตได้ก็ต่อเมื่อตั้งใจพยายามค้นหาบั๊กด้านความปลอดภัย

  • ถ้าผู้ผลิตเราเตอร์ WiFi หันมาใช้ OpenWRT ก็คงดีมาก
    ถ้าต้องการก็ใส่สกินแบบ gli.net ได้ อย่างน้อยใช้ OpenWRT เป็นฐานก็พอ มันเปิดเผยต่อสาธารณะและทำงานได้ดี
    ส่วนการสร้างความแตกต่างของผลิตภัณฑ์ก็ยังทำต่อได้ด้วยการติดเสาอากาศให้มากขึ้น แล้วเอาตัวเลขความเร็วทั้งหมดมาบวกกันให้ดูเหมือนว่าเร็วมากจริง ๆ

    • เพิ่งรู้ด้วยเหตุผลอื่นเมื่อไม่กี่ชั่วโมงก่อนว่า จริง ๆ แล้วมีอย่างน้อยหนึ่งเจ้าแบบนั้น GL.iNet ขายเราเตอร์ที่รัน OpenWRT ซึ่งเขาบิลด์เอง
      https://www.gl-inet.com/support/firmware-versions/
      https://github.com/gl-inet/openwrt
      และการติดตั้ง OpenWRT แบบดั้งเดิมด้วยวิธี sysupgrade ของ OpenWRT ก็ทำได้ง่าย
      https://openwrt.org/toh/gl.inet/gl-mt6000#installation
    • อยากให้ Apple ชุบชีวิต AirPort กลับมาด้วย
      ตั้งค่าง่าย ประสิทธิภาพดี มีฟีเจอร์ขั้นสูงอยู่บ้าง และได้รับอัปเดตความปลอดภัยมาหลายปี
      ประมาณ 2 ปีก่อน ตอน Fritz!Box เสีย เพื่อนร่วมออฟฟิศกับผมหยิบ AirPort Extreme เก่า ๆ ออกมาใช้ ซึ่งไม่เพียงยังทำงานได้ดีมาก แต่ในฐานะเราเตอร์ 802.11ac ก็ยังถือว่าแข่งขันได้พอสมควร
    • ถ้ากังวลเรื่ององค์ประกอบที่เกี่ยวข้องกับ GPL ของ Linux ก็ยังมี OpnSense ทำงานได้ดีและผมว่าชื่อเสียงก็ค่อนข้างดี
      ผมเป็นสายกี๊กถึงขั้นเคยประกอบเราเตอร์ด้วย OpnSense เองเมื่อหลายปีก่อน และมันทำงานได้ยอดเยี่ยมจริง ๆ
      เหตุผลเดียวที่เลิกใช้คือมีปัญหาที่เลี่ยงไม่ได้ระหว่าง BSD กับการ์ด Broadcom 10Gbe บางรุ่น สุดท้ายเลยทำอะไรสักอย่างแบบชั่วคราวด้วย ClearOS แล้วต่อมาก็หันไปใช้ NixOS
    • ผมไม่เคยลองติดตั้งธีมเอง แต่ของแบบนี้มีอยู่จริง เช่น https://openwrt.org/docs/guide-user/luci/luci.themes
      ก็ไม่มีเหตุผลอะไรที่ทำไม่ได้
    • อุปกรณ์ GLI.NET จำนวนมากใช้ SoC ที่ยังไม่มีการอัปสตรีมการรองรับเข้า Linux mainline kernel
      ดังนั้นการซื้อ GLI.NET ไม่ได้แปลว่าจะได้ฮาร์ดแวร์ที่รัน “OpenWrt ที่ถูกต้อง” อย่างแน่นอน
      ยังต้องตรวจสอบรายการความเข้ากันได้ของฮาร์ดแวร์ หรือวิธีที่ดีกว่าและทันสมัยกว่าคือดูรายชื่อไฟล์ DTS ใน OpenWrt git master ปัจจุบัน
  • ปัญหานี้ไม่ได้จำกัดอยู่แค่ตระกูล Velop
    ตอนที่กำลังเปลี่ยน EA7500 ไปใช้ openWRT ผมเห็นว่ามีการส่งข้อมูลชุดเดียวกันเป๊ะ ขณะมันบังคับให้ล็อกอินผ่านเว็บพอร์ทัล mylinksys และพยายามเชื่อมต่อกับโฮมเซิร์ฟเวอร์

  • “แม้จะแจ้งเตือน Linksys ไปแล้วในเดือนพฤศจิกายน แต่ก็ไม่มีการดำเนินการที่มีประสิทธิผล”
    พฤศจิกายน? พฤศจิกายนเนี่ยนะ? แน่นอนว่าช่วงนั้นมีวันหยุดเยอะ
    แต่ถ้าผู้ขายไม่ได้ลงมือทำหรือสื่อสารอย่างจริงจัง ผมว่าเรื่องแบบนี้ควรถูก เปิดเผยต่อสาธารณะ อย่างช้าที่สุดก็ปลายเดือนมกราคม

  • เป็นเรื่องน่าอับอาย การไม่ตอบกลับเป็นเวลาหลายเดือนคือพฤติกรรมที่มีเจตนาร้ายอย่างชัดเจน และทั้งบริษัทควรถูกลงโทษให้สมกับเรื่องนี้ ไม่ใช่โยนความผิดให้ นักพัฒนาใช้แล้วทิ้ง คนหนึ่ง

  • อยากให้ Apple กลับเข้าสู่ ธุรกิจเราเตอร์ WiFi อีกครั้ง
    ในด้านท่าทีเรื่องความเป็นส่วนตัวและความปลอดภัย ผมเชื่อใจ Apple มากกว่าแบรนด์อื่นส่วนใหญ่
    น่าเสียดายที่ Apple กำลังขายเราเตอร์ Linksys เป็นตัวแทนผลิตภัณฑ์เก่าของตัวเอง

    • ขอโทษนะ แต่ไม่มีใครสนใจ โมเดลธุรกิจแบบสมัครสมาชิกสำหรับอุปกรณ์ หรอก
      ผู้คนอยากเป็นเจ้าของฮาร์ดแวร์ของตัวเอง
    • ไม่ว่าใครจะเป็นคนทำก็ไม่สำคัญ ถ้าตรงตามเงื่อนไขต่อไปนี้
      ซอร์สของ bootloader และอุปกรณ์ออนบอร์ดทั้งหมดต้องเปิดเผยต่อสาธารณะ
      ต้องมีซอร์สเฟิร์มแวร์สำหรับ NPU, offloading engine และอุปกรณ์อื่น ๆ ทั้งหมดบนเส้นทางข้อมูล Ethernet
      mainline Linux kernel ต้องรองรับการบูตแบบไม่มีบล็อบอย่างสมบูรณ์ ยกเว้น WiFi/RF
      ต้องสามารถเปิดการเข้าถึง TrustZone ด้วยจัมเปอร์ได้ และผู้ใช้ปลายทางต้องจัดการคีย์ได้อย่างสมบูรณ์
      ถ้ามีเฮดเดอร์พอร์ต serial UART ติดตั้งอยู่ภายในก็จะดี
      แต่ดูไม่น่าเป็นไปได้ที่ Apple จะทำอุปกรณ์ที่เป็นมิตรกับผู้ใช้ขนาดนี้ จนติดตั้ง OpenWrt ได้ง่าย ๆ ภายใน 5 นาทีหลังแกะกล่อง แถมคงตั้งราคาสูงอีกด้วย