2 puntos por GN⁺ 2024-07-10 | 2 comentarios | Compartir por WhatsApp
  • La organización de consumidores belga Testaankoop señaló que los routers mesh Linksys Velop Pro 6E y Velop Pro 7 envían credenciales de inicio de sesión de Wi‑Fi en texto plano a servidores de AWS en Estados Unidos
  • Los paquetes transmitidos durante una revisión de instalación incluían el SSID configurado y la contraseña, un token de identificación de red y un token de acceso para la sesión del usuario
  • La prueba se realizó con el firmware más reciente disponible en ese momento, y aunque Linksys publicó una actualización de firmware tras una advertencia en noviembre de 2023, el problema no se resolvió
  • Los usuarios afectados pueden evitar el envío de texto legible al cambiar el nombre y la contraseña de la red Wi‑Fi desde la interfaz web en lugar de la app
  • Testaankoop desaconsejó firmemente la compra de esos modelos, y dado que la línea Velop también se recomienda para oficinas pequeñas, hay preocupación tanto en entornos personales como de trabajo

Modelos Velop en los que se confirmó el envío en texto plano

  • Testaankoop, la organización de consumidores de Bélgica, confirmó que dos routers de Linksys envían credenciales de inicio de sesión de Wi‑Fi en texto plano a servidores de Amazon AWS
  • Los modelos afectados son los routers mesh Linksys Velop Pro 6E y Velop Pro 7
  • Durante verificaciones rutinarias de instalación, se detectó el envío de varios paquetes de datos a servidores de AWS en Estados Unidos
    • Los paquetes contenían en texto plano el nombre del SSID configurado y la contraseña
    • También incluían un token para identificar la red dentro de una base de datos más grande
    • Además se enviaba un token de acceso para la sesión del usuario
  • Este método de transmisión puede aumentar la posibilidad de ataques de intermediario (MITM)
    • Si un atacante intercepta la comunicación entre el router de Linksys y los servidores de Amazon, podría capturar el SSID y la contraseña enviados en texto plano
    • Esto genera el riesgo de leer o cambiar el nombre y la contraseña de la red, así como de obtener acceso no autorizado a la red

Estado del firmware y respuesta de los usuarios

  • Testaankoop realizó las pruebas con el firmware más reciente disponible en ese momento
    • El Velop 6E fue probado varias veces, y la última prueba se hizo con el firmware V 1.0.8 MX6200_1.0.8.215731
    • El nuevo Velop Pro 7 fue probado con el firmware 1.0.10.215314
  • Aunque Linksys publicó una actualización de firmware tras la primera advertencia en noviembre de 2023, las preocupaciones planteadas por Testaankoop no se resolvieron
  • El problema de seguridad podría haberse originado en software de terceros usado en el firmware de Linksys, pero Testaankoop considera que eso no justifica la vulnerabilidad
  • A los usuarios que ya tienen estos routers se les recomienda cambiar el nombre y la contraseña de la red Wi‑Fi desde la interfaz web en lugar de la app
    • Esta medida es una precaución para evitar que el nombre del SSID y la contraseña se transmitan como texto legible

Respuesta de Linksys y recomendación de compra

  • Testaankoop volvió a contactar a Linksys unos días antes de la publicación y le dio una breve oportunidad de responder, pero no recibió confirmación ni una solución por parte del fabricante
  • Stack Diary también consultó a Linksys el 9 de julio sobre sus planes de respuesta, y hasta el 14 de julio no había recibido respuesta
  • Tras pruebas extensas, Testaankoop desaconseja firmemente la compra de los Linksys Velop Pro WiFi 6E y Pro 7, y concluye que el riesgo de intrusión en la red y pérdida de datos es grave
  • Los routers mesh como la serie Velop están diseñados para mejorar la cobertura Wi‑Fi en casas grandes o de varios pisos mediante varios nodos de conexión, pero el método de transmisión de datos de los Velop Pro WiFi 6E y Pro 7 debilita las ventajas de seguridad que deberían ofrecer

2 comentarios

 
halfenif 2024-07-11

La excusa es que era para que el personal de soporte pudiera ayudar a los usuarios que olvidaron su contraseña

Ah...

 
GN⁺ 2024-07-10
Opiniones de Hacker News
  • Al leer estos comentarios, ¿todos consideran que enviar la contraseña al servidor está bien y que el único problema es que no esté cifrada?
    Para empezar, no esperaría que la contraseña se enviara a un servidor.

    • Algo relacionado: un artículo de 2013 sobre cómo Google conoce las contraseñas WiFi de todo el mundo: https://www.computerworld.com/article/1496628/android-google...
    • No está bien en absoluto. Creo que un router no debería enviar ningún dato a un servidor desconocido, a menos que el usuario lo haya configurado explícitamente.
      Un router que hace eso es un producto que no cumple su propósito y, de hecho, desde hace años ya no consideraba que los routers Linksys fueran productos aceptables en general.
    • Me pregunto si los desarrolladores no estaban de acuerdo con esto e hicieron sabotaje deliberado internamente.
      El texto plano se observa fácilmente y la gente puede descubrirlo, lo que puede generar un golpe de relaciones públicas; en cambio, una contraseña cifrada es prácticamente difícil de rastrear.
    • A mí tampoco me parece bien. Ni siquiera me gusta que para configurar el router exijan usar una app del celular.
    • El artículo habla extensamente de una vulnerabilidad de ataque de intermediario, pero no explica por qué tendría que haber un intermediario en primer lugar, ni por qué Amazon tiene derecho a poner a una persona en el extremo.
  • Mediante el mecanismo TR-69, los routers Verizon FiOS envían la contraseña WiFi local a un sistema de administración central.
    La excusa que escuché fue: “para que el personal de soporte pueda ayudar a los usuarios que olvidaron la contraseña” :-/

    • Sinceramente, tiene bastante sentido. Es muy probable que el tiempo que se ahorra en soporte sea mucho mayor que el costo de atender un incidente de seguridad.
    • No debe ser solo eso. Probablemente casi todos los proveedores de servicios de internet del mundo que entregan a sus clientes un módem, tenga o no router WiFi integrado, hagan lo mismo.
      Además, si desde la app del proveedor puedes cambiar la contraseña del equipo provisto, hay una alta probabilidad de que esa contraseña viaje en texto plano al menos dentro de paquetes TCP/TLS.
    • Es una locura total.
      Me alegra haber tenido desde hace tiempo la costumbre de no usar routers provistos por la operadora.
    • Todos los routers WiFi que he usado hasta ahora hacen un hard reset si mantienes presionado el botón de reset unos segundos, y el WiFi vuelve a la contraseña predeterminada.
      Después solo hay que iniciar sesión en el router y configurar una contraseña nueva.
    • Pensé que la incomodidad de las contraseñas WiFi era algo que WPS venía a resolver.
      Si yo fuera un proveedor de servicios de internet y recibiera demasiadas solicitudes de soporte relacionadas con contraseñas WiFi, consideraría impulsar más el uso de WPS.
  • Detesto cómo la industria de los routers pasó de ser equipo de red local confiable a convertirse en dispositivos inteligentes.
    La misma explotación del cliente que veíamos en otros sectores ocurre aquí también. Por ejemplo, TP Link usa patrones oscuros en sus routers, como empresas tipo Roku, y después de actualizar los términos de servicio obliga a aceptarlos en un popup para poder usar la app.
    La app es la única forma de acceder a la mayoría de las funciones de configuración del router, a diferencia del método anterior de entrar a una página web protegida con contraseña para configurarlo. Si no aceptas los nuevos términos, ya no puedes controlar el router que hasta ahora controlabas.
    Además, dentro de la app siguen empujando pruebas de servicios inútiles y no deseados con mecanismos de incentivo, como insignias circulares rojas junto a elementos del menú o de la interfaz.
    No me sorprendería que, como Linksys, incluyan términos que les permitan abusar de mi privacidad y seguridad.
    ¿Pero a dónde ir? Todas las empresas hacen esto. Tal vez ni siquiera puedan sobrevivir sin ello. Por eso parece necesaria una regulación, como responsabilidad por brechas de seguridad y límites al abuso de los términos de servicio.

  • ¿Esto realmente es texto plano, o texto plano dentro de HTTPS? El artículo y el material original no lo dicen.
    Que una contraseña vaya en “texto plano” dentro de una solicitud HTTPS es bastante común. Casi todos los inicios de sesión de apps web funcionan así.
    Si no es HTTPS, hay un montón de otros problemas además de poner una contraseña en texto plano dentro de la solicitud.
    Si es HTTPS, el verdadero problema es que la contraseña no se queda localmente y se envía a algún lado. Esta práctica es mucho más debatible, pero lamentablemente también es algo que muchos routers hacen comúnmente para soportar funciones de administración en la nube/app.

    • ¿Por qué la nube tendría que conocer la contraseña WiFi para soportar funciones de administración?
      Las únicas razones que se me ocurren ahora son configurar un segundo dispositivo de forma más “automática” para una red mesh, o permitir usar la misma contraseña después de un restablecimiento de fábrica. Ambas tienen mejores soluciones.
      Si lo que se quiere es configurar una contraseña nueva, no entiendo por qué se necesita la contraseña anterior; y si están usando la contraseña WiFi como credencial de acceso para administración remota, eso está mal, porque el acceso a mi red no debería equivaler a privilegios de administración.
      Si realmente fuera necesario, se podría hacer mucho mejor enviando solo una contraseña con suficiente sal y hash.
    • Si la interceptaron, hay que asumir que era texto plano de verdad.
      Si hubieran tenido acceso a la clave privada del certificado del servidor de Linksys, eso habría sido una noticia mucho más grande.
  • Es impresionante que una organización de pruebas para consumidores tenga la experiencia técnica suficiente para detectar esto.
    Era un problema que no se podía descubrir usándolo como lo haría un consumidor; había que esforzarse deliberadamente en buscar bugs de seguridad para notarlo.

  • Realmente me gustaría que los fabricantes de routers WiFi usaran OpenWRT
    Si quieren, pueden ponerle una skin como gli.net; como mínimo, la base podría ser OpenWRT. Es abierto y funciona bien
    La diferenciación del producto puede seguir siendo poner más antenas y sumar todas las cifras de velocidad para que parezca realmente rápido

    • Hace unas horas me enteré, por otro motivo, de que de hecho hay al menos una empresa que hace eso. GL.iNet vende routers que ejecutan su propia compilación de OpenWRT
      https://www.gl-inet.com/support/firmware-versions/
      https://github.com/gl-inet/openwrt
      Y también es sencillo instalar OpenWRT puro mediante el método sysupgrade de OpenWRT
      https://openwrt.org/toh/gl.inet/gl-mt6000#installation
    • Ojalá Apple también reviviera AirPort
      Era fácil de configurar, tenía buen rendimiento, también algunas funciones avanzadas y recibió actualizaciones de seguridad durante años
      Hace unos dos años, cuando se nos descompuso una Fritz!Box a un compañero de oficina y a mí, sacamos un viejo AirPort Extreme, y no solo seguía funcionando muy bien, sino que además seguía siendo bastante competitivo como router 802.11ac
    • Si preocupan los componentes de Linux relacionados con la GPL, también está OpnSense. Funciona bien y diría que tiene bastante buena reputación
      Hace algunos años fui lo suficientemente friki como para armarme un router con OpnSense, y funcionaba de maravilla
      La única razón por la que lo dejé fue por un problema imposible de esquivar entre BSD y cierta tarjeta Broadcom 10Gbe; al final improvisé algo con ClearOS y más tarde terminé usando NixOS
    • Nunca he instalado temas personalmente, pero existen de verdad, como en https://openwrt.org/docs/guide-user/luci/luci.themes
      No hay ninguna razón clara para que no se pueda hacer
    • Muchos dispositivos de GLI.NET usan SoC cuyo soporte en el kernel mainline de Linux no ha sido integrado upstream
      Por lo tanto, comprar GLI.NET no garantiza que obtengas hardware que ejecute “OpenWrt de verdad”
      Aun así hay que revisar la lista de compatibilidad de hardware o, mejor y más actualizado, revisar la lista de archivos DTS en el git master actual de OpenWrt
  • Este problema no se limita a la línea Velop
    Mientras cambiaba un EA7500 a openWRT, vi que se transmitía exactamente la misma información al forzar el inicio de sesión en el portal web mylinksys e intentar establecer conexión con el servidor doméstico

  • “A pesar de haber advertido a Linksys en noviembre, no se tomaron medidas efectivas”
    ¿Noviembre? ¿Dijeron noviembre? Claro, por esas fechas hay muchos feriados
    Aun así, si el proveedor no está trabajando activamente ni comunicándose, creo que algo así debería haberse hecho público públicamente a más tardar a fines de enero

  • Es vergonzoso. No responder durante meses es una conducta activamente maliciosa, y debería castigarse en consecuencia a toda la empresa, no a un solo desarrollador descartable al que le carguen la culpa

  • Ojalá Apple volviera al negocio de los routers WiFi
    En cuanto a privacidad y seguridad, confío más en Apple que en la mayoría de las otras marcas
    Lamentablemente, Apple vende routers Linksys como reemplazo de sus productos antiguos

    • Lo siento, pero a nadie le interesa un modelo de negocio de suscripción para dispositivos
      La gente quiere ser dueña de su propio hardware
    • No importa quién lo fabrique si cumple estas condiciones
      El bootloader y todos los dispositivos integrados deben tener el código fuente abierto
      Debe proporcionarse el código fuente del firmware para todas las NPU, motores de offloading y otros dispositivos en la ruta de datos Ethernet
      El kernel mainline de Linux debe admitir un arranque completamente sin blobs, salvo por WiFi/RF
      Debe poder habilitarse el acceso a TrustZone mediante un jumper, y el usuario final debe tener gestión completa de claves
      Sería bueno que tuviera montado internamente un header de puerto UART serial
      Pero no creo que Apple vaya a fabricar un dispositivo tan amigable con el usuario como para que se pueda instalar OpenWrt fácilmente cinco minutos después de sacarlo de la caja. Además, probablemente cobraría caro por él