Routers Linksys Velop envían contraseñas de Wi‑Fi en texto plano a servidores de EE. UU.
(stackdiary.com)- La organización de consumidores belga Testaankoop señaló que los routers mesh Linksys Velop Pro 6E y Velop Pro 7 envían credenciales de inicio de sesión de Wi‑Fi en texto plano a servidores de AWS en Estados Unidos
- Los paquetes transmitidos durante una revisión de instalación incluían el SSID configurado y la contraseña, un token de identificación de red y un token de acceso para la sesión del usuario
- La prueba se realizó con el firmware más reciente disponible en ese momento, y aunque Linksys publicó una actualización de firmware tras una advertencia en noviembre de 2023, el problema no se resolvió
- Los usuarios afectados pueden evitar el envío de texto legible al cambiar el nombre y la contraseña de la red Wi‑Fi desde la interfaz web en lugar de la app
- Testaankoop desaconsejó firmemente la compra de esos modelos, y dado que la línea Velop también se recomienda para oficinas pequeñas, hay preocupación tanto en entornos personales como de trabajo
Modelos Velop en los que se confirmó el envío en texto plano
- Testaankoop, la organización de consumidores de Bélgica, confirmó que dos routers de Linksys envían credenciales de inicio de sesión de Wi‑Fi en texto plano a servidores de Amazon AWS
- Los modelos afectados son los routers mesh Linksys Velop Pro 6E y Velop Pro 7
- Durante verificaciones rutinarias de instalación, se detectó el envío de varios paquetes de datos a servidores de AWS en Estados Unidos
- Los paquetes contenían en texto plano el nombre del SSID configurado y la contraseña
- También incluían un token para identificar la red dentro de una base de datos más grande
- Además se enviaba un token de acceso para la sesión del usuario
- Este método de transmisión puede aumentar la posibilidad de ataques de intermediario (MITM)
- Si un atacante intercepta la comunicación entre el router de Linksys y los servidores de Amazon, podría capturar el SSID y la contraseña enviados en texto plano
- Esto genera el riesgo de leer o cambiar el nombre y la contraseña de la red, así como de obtener acceso no autorizado a la red
Estado del firmware y respuesta de los usuarios
- Testaankoop realizó las pruebas con el firmware más reciente disponible en ese momento
- El Velop 6E fue probado varias veces, y la última prueba se hizo con el firmware
V 1.0.8 MX6200_1.0.8.215731 - El nuevo Velop Pro 7 fue probado con el firmware
1.0.10.215314
- El Velop 6E fue probado varias veces, y la última prueba se hizo con el firmware
- Aunque Linksys publicó una actualización de firmware tras la primera advertencia en noviembre de 2023, las preocupaciones planteadas por Testaankoop no se resolvieron
- El problema de seguridad podría haberse originado en software de terceros usado en el firmware de Linksys, pero Testaankoop considera que eso no justifica la vulnerabilidad
- A los usuarios que ya tienen estos routers se les recomienda cambiar el nombre y la contraseña de la red Wi‑Fi desde la interfaz web en lugar de la app
- Esta medida es una precaución para evitar que el nombre del SSID y la contraseña se transmitan como texto legible
Respuesta de Linksys y recomendación de compra
- Testaankoop volvió a contactar a Linksys unos días antes de la publicación y le dio una breve oportunidad de responder, pero no recibió confirmación ni una solución por parte del fabricante
- Stack Diary también consultó a Linksys el 9 de julio sobre sus planes de respuesta, y hasta el 14 de julio no había recibido respuesta
- Tras pruebas extensas, Testaankoop desaconseja firmemente la compra de los Linksys Velop Pro WiFi 6E y Pro 7, y concluye que el riesgo de intrusión en la red y pérdida de datos es grave
- Los routers mesh como la serie Velop están diseñados para mejorar la cobertura Wi‑Fi en casas grandes o de varios pisos mediante varios nodos de conexión, pero el método de transmisión de datos de los Velop Pro WiFi 6E y Pro 7 debilita las ventajas de seguridad que deberían ofrecer
2 comentarios
La excusa es que era para que el personal de soporte pudiera ayudar a los usuarios que olvidaron su contraseña
Opiniones de Hacker News
Al leer estos comentarios, ¿todos consideran que enviar la contraseña al servidor está bien y que el único problema es que no esté cifrada?
Para empezar, no esperaría que la contraseña se enviara a un servidor.
Un router que hace eso es un producto que no cumple su propósito y, de hecho, desde hace años ya no consideraba que los routers Linksys fueran productos aceptables en general.
El texto plano se observa fácilmente y la gente puede descubrirlo, lo que puede generar un golpe de relaciones públicas; en cambio, una contraseña cifrada es prácticamente difícil de rastrear.
Mediante el mecanismo TR-69, los routers Verizon FiOS envían la contraseña WiFi local a un sistema de administración central.
La excusa que escuché fue: “para que el personal de soporte pueda ayudar a los usuarios que olvidaron la contraseña” :-/
Además, si desde la app del proveedor puedes cambiar la contraseña del equipo provisto, hay una alta probabilidad de que esa contraseña viaje en texto plano al menos dentro de paquetes TCP/TLS.
Me alegra haber tenido desde hace tiempo la costumbre de no usar routers provistos por la operadora.
Después solo hay que iniciar sesión en el router y configurar una contraseña nueva.
Si yo fuera un proveedor de servicios de internet y recibiera demasiadas solicitudes de soporte relacionadas con contraseñas WiFi, consideraría impulsar más el uso de WPS.
Detesto cómo la industria de los routers pasó de ser equipo de red local confiable a convertirse en dispositivos inteligentes.
La misma explotación del cliente que veíamos en otros sectores ocurre aquí también. Por ejemplo, TP Link usa patrones oscuros en sus routers, como empresas tipo Roku, y después de actualizar los términos de servicio obliga a aceptarlos en un popup para poder usar la app.
La app es la única forma de acceder a la mayoría de las funciones de configuración del router, a diferencia del método anterior de entrar a una página web protegida con contraseña para configurarlo. Si no aceptas los nuevos términos, ya no puedes controlar el router que hasta ahora controlabas.
Además, dentro de la app siguen empujando pruebas de servicios inútiles y no deseados con mecanismos de incentivo, como insignias circulares rojas junto a elementos del menú o de la interfaz.
No me sorprendería que, como Linksys, incluyan términos que les permitan abusar de mi privacidad y seguridad.
¿Pero a dónde ir? Todas las empresas hacen esto. Tal vez ni siquiera puedan sobrevivir sin ello. Por eso parece necesaria una regulación, como responsabilidad por brechas de seguridad y límites al abuso de los términos de servicio.
¿Esto realmente es texto plano, o texto plano dentro de HTTPS? El artículo y el material original no lo dicen.
Que una contraseña vaya en “texto plano” dentro de una solicitud HTTPS es bastante común. Casi todos los inicios de sesión de apps web funcionan así.
Si no es HTTPS, hay un montón de otros problemas además de poner una contraseña en texto plano dentro de la solicitud.
Si es HTTPS, el verdadero problema es que la contraseña no se queda localmente y se envía a algún lado. Esta práctica es mucho más debatible, pero lamentablemente también es algo que muchos routers hacen comúnmente para soportar funciones de administración en la nube/app.
Las únicas razones que se me ocurren ahora son configurar un segundo dispositivo de forma más “automática” para una red mesh, o permitir usar la misma contraseña después de un restablecimiento de fábrica. Ambas tienen mejores soluciones.
Si lo que se quiere es configurar una contraseña nueva, no entiendo por qué se necesita la contraseña anterior; y si están usando la contraseña WiFi como credencial de acceso para administración remota, eso está mal, porque el acceso a mi red no debería equivaler a privilegios de administración.
Si realmente fuera necesario, se podría hacer mucho mejor enviando solo una contraseña con suficiente sal y hash.
Si hubieran tenido acceso a la clave privada del certificado del servidor de Linksys, eso habría sido una noticia mucho más grande.
Es impresionante que una organización de pruebas para consumidores tenga la experiencia técnica suficiente para detectar esto.
Era un problema que no se podía descubrir usándolo como lo haría un consumidor; había que esforzarse deliberadamente en buscar bugs de seguridad para notarlo.
Realmente me gustaría que los fabricantes de routers WiFi usaran OpenWRT
Si quieren, pueden ponerle una skin como gli.net; como mínimo, la base podría ser OpenWRT. Es abierto y funciona bien
La diferenciación del producto puede seguir siendo poner más antenas y sumar todas las cifras de velocidad para que parezca realmente rápido
https://www.gl-inet.com/support/firmware-versions/
https://github.com/gl-inet/openwrt
Y también es sencillo instalar OpenWRT puro mediante el método sysupgrade de OpenWRT
https://openwrt.org/toh/gl.inet/gl-mt6000#installation
Era fácil de configurar, tenía buen rendimiento, también algunas funciones avanzadas y recibió actualizaciones de seguridad durante años
Hace unos dos años, cuando se nos descompuso una Fritz!Box a un compañero de oficina y a mí, sacamos un viejo AirPort Extreme, y no solo seguía funcionando muy bien, sino que además seguía siendo bastante competitivo como router 802.11ac
Hace algunos años fui lo suficientemente friki como para armarme un router con OpnSense, y funcionaba de maravilla
La única razón por la que lo dejé fue por un problema imposible de esquivar entre BSD y cierta tarjeta Broadcom 10Gbe; al final improvisé algo con ClearOS y más tarde terminé usando NixOS
No hay ninguna razón clara para que no se pueda hacer
Por lo tanto, comprar GLI.NET no garantiza que obtengas hardware que ejecute “OpenWrt de verdad”
Aun así hay que revisar la lista de compatibilidad de hardware o, mejor y más actualizado, revisar la lista de archivos DTS en el git master actual de OpenWrt
Este problema no se limita a la línea Velop
Mientras cambiaba un EA7500 a openWRT, vi que se transmitía exactamente la misma información al forzar el inicio de sesión en el portal web mylinksys e intentar establecer conexión con el servidor doméstico
“A pesar de haber advertido a Linksys en noviembre, no se tomaron medidas efectivas”
¿Noviembre? ¿Dijeron noviembre? Claro, por esas fechas hay muchos feriados
Aun así, si el proveedor no está trabajando activamente ni comunicándose, creo que algo así debería haberse hecho público públicamente a más tardar a fines de enero
Es vergonzoso. No responder durante meses es una conducta activamente maliciosa, y debería castigarse en consecuencia a toda la empresa, no a un solo desarrollador descartable al que le carguen la culpa
Ojalá Apple volviera al negocio de los routers WiFi
En cuanto a privacidad y seguridad, confío más en Apple que en la mayoría de las otras marcas
Lamentablemente, Apple vende routers Linksys como reemplazo de sus productos antiguos
La gente quiere ser dueña de su propio hardware
El bootloader y todos los dispositivos integrados deben tener el código fuente abierto
Debe proporcionarse el código fuente del firmware para todas las NPU, motores de offloading y otros dispositivos en la ruta de datos Ethernet
El kernel mainline de Linux debe admitir un arranque completamente sin blobs, salvo por WiFi/RF
Debe poder habilitarse el acceso a TrustZone mediante un jumper, y el usuario final debe tener gestión completa de claves
Sería bueno que tuviera montado internamente un header de puerto UART serial
Pero no creo que Apple vaya a fabricar un dispositivo tan amigable con el usuario como para que se pueda instalar OpenWrt fácilmente cinco minutos después de sacarlo de la caja. Además, probablemente cobraría caro por él