Linksys: Router sollen euer WLAN und Passwort an US-Server schicken
von caschy | 26 Kommentare
Laut Testaankoop, einer belgischen Verbraucherschutzorganisation, übermitteln zwei Routermodelle von Linksys, nämlich die Linksys Velop Pro 6E und Velop Pro 7, die WLAN-Zugangsdaten unverschlüsselt an Server von Amazon in den USA. Diese Erkenntnisse wurden während üblicher Installationsüberprüfungen gewonnen, so der Bericht.
Bei diesen Überprüfungen stellte Testaankoop fest, dass mehrere Datenpakete, die den Namen (SSID) und das Passwort des konfigurierten Netzwerks im Klartext, Identifikations-Token für dieses Netzwerk innerhalb einer größeren Datenbank sowie ein Zugangstoken für eine Benutzersitzung enthielten, an einen amerikanischen Amazon-Server gesendet wurden. Diese Informationen könnten die Grundlage für einen Man-in-the-Middle-Angriff bilden, so Testaankoop.
Man hatte bereits im November 2023 Kontakt zu Linksys in Belgien und im Vereinigten Königreich aufgenommen, jedoch ohne Erfolg. Monate später gibt es zwar ein neues Firmware-Update, aber das Problem besteht immer noch und das Produkt wird international immer noch auf allen wichtigen Plattformen verkauft. Darüber hinaus leidet der Nachfolger des Produkts (das neueste Linksys 7 Pro) unter denselben Problemen.
Man vermutet, dass das Sicherheitsproblem möglicherweise in der Software von Drittanbietern liegt, die Linksys in ihrer Firmware verwendet.
Man hatte den Hersteller einige Tage vor der Veröffentlichung des Textes erneut informiert und ihm zwei Tage Zeit gegeben, um zu antworten. Eine Antwort gab es nicht.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Das US Geräte Backdoors haben ist eine Sache, das so geschlampt wird eine andere…
Aber das ist trotzdem kein Problem, denn man hat ja Schafe als Kunden, dies verhindert dass man durch solche Aktionen insolvent geht! 😀
Puh, die hatte ich auf der Liste als Ersatz für AVM und weil sie auch von Apple gelistet werden. Damit sind die dann auch raus.
Was steht denn sonst noch auf der Liste? Unifi war bei mir aufgrund Komplexität raus. Brauche nur einen potenten Wifi-Router – DSL Modem ist ein Vigor.
Es gab mal eine Horstbox!?
SCNR nichts für ungut
Mikrotik und Unifi. Aber noch hält mein AVM-Zeug einige Jahre.
Asus war auch mal drauf, aber die haben aktuell irgendwie Qualitätsprobleme wie mir scheint.
Synology ist auch noch mit dabei. Ansonsten nach Geräten gucken, wo man OpenWRT draufbekommt.
ASUS?
Schau Dir mal Asus an, deutlich leistungsfähiger als AVM – per App schön einfach – per Weboberfläche sehr mächtig
Eventuell den TP-Link Archer BE800 anschauen.
Wenn man schon ein Vigor hat und sein Smart Home Krempel nicht auf einer Fritzbox laufen lässt hat man schon mal ein riesenvorteil.
Bezüglich Komplexität bin ich auch noch ein letztes Mal bei AVM gelandet bzw auch keine Lust den F5 button nonstop zu hauen um in einem 20 Minuten zeitfenster eine neue charge bei Unifi bestellen zu können.
Aber ganz ehrlich man sollte nicht so faul sein und sich da einarbeiten, besonders wenn man schon ein eigenes Modem betreibt wird man den Rest auch lässig hinbekommen, muss man sich halt mal einen Tag Zeit nehmen.
Aber Huawei sind die bösen, ich komm aus dem Lachen gerade nicht mehr raus.
Es sind doch immer die Amis, die Weltpolizei -_-
Linksys ist ja gar kein Ami mehr. Die gehören doch zu Belkin bzw. Foxconn und damit zu Taiwan.
Nur so als Hinweis, Linksys ist schon seit 2013 nicht mehr aus den USA. Der Inhaber sitzt in Taiwan und heisst Foxconn. Die wiederrum stark mit China verbunden sind.
Und ich glaube kaum, dass eine Backdoor eine Geheimdienstes Daten so offensichtlich abfliesen lässt.
Persönliche Meinung, ich denke dies ist auf irgendein OpenSource Packet zurück zuführen, wo wiedermal ein Keller-Entwickler sich für zu wichtig genommen hat und Daten sammelt die er nicht sammeln dürfte.
„Persönliche Meinung, ich denke dies ist auf irgendein OpenSource Packet zurück zuführen, wo wiedermal ein Keller-Entwickler sich für zu wichtig genommen hat und Daten sammelt die er nicht sammeln dürfte.“
Ja klar, dafür ist OpenSource ja bekannt… :/
Und übrigens, wer ist verantwortlich für das, was seine Software tut, nach dem er diverse Pakete und Libraries (egal ob proprietär oder OpenSource) eingebunden hat?
Und wer, verdammt noch mal, sollte solche Fehler nicht einfach ignorieren?
Scheint, wir brauchen noch viel strengere Regelungen für IT-Security. Insbesondere, was Verkaufsverbote und Gewinnabschöpfung als Strafen angeht, wenn solche kritischen Fehler fast schon vorsätzlich nicht abgestellt werden.
Nur so lernen es gewinnorientierte Firmen.
Mit dem Punkt der Verantwortlichkeit stimme ich dir zu. Linksys hat da Mist gebaut, weil sie das nicht auditiert haben und vor allem überhaupt nicht reagieren.
Aber, so leid es mir tut, die großen Fails der Scene in den letzten Jahre immer auf Einzelentwickler der OpenSource Community zurück zu führen. Hier unterstelle ich nichtmal Vorsatz.
Die meisten Entwickler aus der OpenSource Community die ich kenne sind Egomanen. Die im großen und ganzen für sich und / oder dem Fame entwickeln. Dabei wird die UX oder verständliche Dokumentation oft vernachlässigt. Das sind so 10-15 aus dem EU / NA Raum. Die sind alle gleich. Schwer mit zu arbeiten und Knowledgesharing ist eher die Ausnahme. Und das vergrault Nachwuchs bzw. trainiert diese genauso so zu sein.
Beim zweiten lesen, empfinde ich meinen Text auch zu hart. Dafür möchte ich mich entschuldigen. Hatte gedachte, Persönliche Meinung macht klar dass es nur meine persönliche Sicht auf einen sehr kleinen Teil der Scene (mit dem ich ab und an arbeite) gerichtet ist.
Im Grunde wollte ich auch darauf hinaus, dass Linksys hier mehr Sorgalt hätte walten lassen müssen. Was gänzlich fehlt 🙁
Die Strafen gibt es. 4 % Jahresumsatz oder 20 Millionen, je nach größe des Unternehmens. Laut einem Kanzlei Bericht hat die EU diese Strafe 2023 über 2000 ausgesprochen mit über 4,4 Millarden EUR Strafzahlungen (GDPR Enforcement Tracker Report).
Ja, passt. So wie Du es jetzt geschrieben hast, kann ich es nachvollziehen.
Aber auch hierzu ein paar Anmerkungen:
„meisten Entwickler aus der OpenSource Community die ich kenne sind Egomanen. Die im großen und ganzen für sich und / oder dem Fame entwickeln“
Was allerdings absolut legitim ist. Die meisten Open Source Projekte fangen als Eigeninitiative an, weil jemand für seinen Bedarf braucht – und zwar unabhängig davon, ob das jetzt eine Einzelperson, oder eine Firma ist!
Das dann mit der Welt zu teilen unter einer Open Source Lizenz ist nett, verpflichtet aber weder dazu, das Projekt auf ewig weiterzuführen, noch andere Entwickler einzubinden, noch überhaupt fremde Patches zu integrieren.
Natürlich stimme ich Dir zu, das es WÜNSCHENSWERT wäre, wenn ein Projekt breit genutzt wird, dies zu tun.
Aber selbst wenn nicht – andere Interessenten können immer forken und einen Entwicklungsstrang aufmachen, der all dies tut – das passiert ja auch regelmäßig (mir fallen z.B. nextcloud vs. owncloud ein oder insbesondere libreelec vs. openelec – hier war es EXAKT der von Dir beschriebene Fall).
„Und das vergrault Nachwuchs bzw. trainiert diese genauso so zu sein“
Ja, das kann ein Problem sein.
Hat ja sogar Linus eingesehen… und sich im Sabbatical schulen lassen, um seinen Ton zu mäßigen und toleranter zu agieren. Was absolut gut ist, denn sein Ton und sein Vorbild haben die (ansonsten vorbildlich organisierte) Linux-Kernelentwicklung belastet
Schau mal da winkt der Snowden, mäh.
Wer es kauft stärkt sie.
Ein Boykott hilft meisten schnell.
Warum wird das vor der Zulassung nicht erkannt ?
Und wie z. B. in der Lebensmittelüberwachung nicht in unregelmäßigen Abständen nachgeprüft ?
Das sind also die „vielen Alternativen“ zu AVMs Fritz!Boxen, wie auch in der Diskussion neulich (https://stadt-bremerhaven.de/preisabsprachen-millionenstrafe-gegen-avm/) zu lesen. Ganz toll.
Ich hab mir jetzt tatsächlich vor ein paar Tagen ein Velop Pro 6E Mesh-System für mein Haus gekauft (mehrere Stockwerke). Die Leistung ist einfach super! Kein Vergleich zu meiner FritzBOX! oder dem nachfolgenden Mesh-System von TP-Link. Bin froh, endlich eine so gute Lösung zu haben. Konfiguration ist auch super easy – und ehrlicherweise will ich das mittlerweile auch. Früher fand ich es noch spannend mit VPN und ähnlichen Dingen rumzuspielen… heute will ich, dass es einfach nur läuft. Und das macht das Linksys-System. Vermutlich werden / wurden die Produkte daher auch von Apple über die Apple Stores verkauft.
Das mit dem Passwort ist jetzt natürlich nicht so toll… aber ich würde trotzdem jederzeit zu Linksys raten – und hoffe einfach, dass das bald gefixt wird. Ein wirklich wahrscheinliches Szenario, indem ich nun dadurch ein Problem bekomme, sehe ich absolut nicht! Ich vermute, dass in vielen Geräten solche Fehler / Backdoors usw. integriert sind… hat nur noch keiner gemerkt. Und lieber gehen meine Daten an einen US-Server als an einen chinesischen…
ASUS, ungeschlagen
Was haste da an Repeatern?
Dem schließ ich mich an…. 4x Zenwifi ET12pro im Haus mit 3 Generationen- dauerhaft > als 60 Geräte im Netzwerk (inkl. Kameras, IoT usw.) und absolut keine Probleme mit WLAN Abdeckung oder sonstiges….uns die Konfigurationsmöglichkeiten über Weg- und App Oberfläche sind absolut klasse.
Und ja, der ganze Spass kostet mehr als 1,5k….aber es lohnt sich und man hat viele Jahre Ruhe
Kann jemand ein System mit Repeatern empfehlen, die auch Roaming unterstützen und schlau genug sind, die doofen Clients auf den nächsten Repeater zu schieben?
Ich habe die Mesh-Dinger von der Telekom und habe oft das Problem, dass mein Fire TV Stick oder die Playstation oder was auch immer schlechte Verbindung haben, da sie eine Verbindung zu dem ungünstigsten AP aufbauen.
Ja, das ist ein Problem.
Bei uns im Büro gibt es ein Notebook das sich immer an einen Access Point mit schlechtem Signal anmeldet obwohl der nächste Access Point volle Signalstärke bieten würde.
Da die Access Points im Mesh mit der gleichen SSID arbeiten, ist es mir noch nicht gelungen das Notebook davon zu überzugen, den Access Point mit dem schwachen Signal außen vorlässt.
Wir hatten im Betrieb ein ähnliches Problem, die Lösung war, die Signalstärke zu reduzieren, sodass mobile Geräte die weiter entfernten APs gar nicht sehen.
Beim Telekom-Mesh habe ich diese Möglichkeit nicht.
Es wird höchste Zeit, dass Firmen die s unverantwortlich mit sensiblen Kundendaten umgehen so richtig zur Kasse gebeten werden. Zahlbar nicht an irgendeine Behörde sondern direkt an die Kunden und Nutzer die ein solche Datenschleuder benutzt haben.
Macht euch doch keine Sorgen. Sie haben eure Daten bereits. Gerne möchten sie mehr…..