Kamu Hizmeti Duyurusu:Linksys Velop Pro 6E ve 7 mesh yönlendiricilerinin kullanıcıları, parolalarını ve Wi-Fi ağ adlarını harici bir web tarayıcısı aracılığıyla değiştirmelidir. İki model, ilk kurulumda kritik bilgileri dış sunuculara güvenli olmayan bir şekilde iletir. Sorun keşfedildiğinden beri yeni yamalar ortaya çıktı, ancak Linksys konuya kamuoyuyla yanıt vermedi ve en son aygıt yazılımının hassas verileri müdahaleye açık bırakıp bırakmadığı belirsiz.
Belçika tüketici örgütü Testaankoop’a göre iki Linksys mesh yönlendirici, hassas bilgileri herhangi bir şifreleme olmadan bir Amazon sunucusuna gönderiyor. Bu uygulama, parolaları, kablosuz ağ kimliklerini ve diğer bilgileri Man-in-the-Middle saldırılarına açık bırakabilir.
Şirketin Velop Pro WiFi 6E ve 7 yönlendiricilerini test eden Testaankoop, ilk kurulum sırasında kullanıcının SSID’sini ve parolasını ABD’deki bir sunucuya açık metin olarak ilettiğini buldu. Veri paketlerinde ayrıca kullanıcı oturum erişim belirteçleri ve veritabanı tanımlama belirteçleri de belirdi. Saldırganlar, kullanıcı veya Amazon sunucusunun bilgisi olmadan bu bilgileri ele geçirebilir, okuyabilir ve değiştirebilir.
Her iki modelden birinin sahipleri, değişikliklerin şifrelenmemiş olarak gönderilmesini önlemek için SSID’lerini ve parolalarını bir PC veya mobil cihazdaki bir tarayıcı kullanarak ve eşlik eden uygulamada değil değiştirmelidir. Talimatlar için Linksys destek sitesini ziyaret edin.
Kullanıcılar ayrıca yönlendirici aygıt yazılımlarını her zaman güncel tutmalıdır. Şirketin web sitesi, Wi-Fi 6E yönlendiricisi için MX6200 ve Wi-Fi 7 çeşidi için MBE7000 SKU etiketleri altında etkilenen cihazlar için manuel indirmelere ev sahipliği yapmaktadır. Ancak, en son yamaların sorunu ele alıp almadığı belirsizliğini korumaktadır.
Testaankoop, Wi-Fi 6E sürümü için 1.0.8 MX6200_1.0.8.215731 ve Wi-Fi 7 cihazı için 1.0.10.215314 aygıt yazılımı sürümünde sorunu keşfetti. Yazıldığı tarih itibarıyla, her ürün o zamandan beri bir aygıt yazılımı güncellemesi aldı, ancak kısa yama notlarında hata düzeltmeleri veya güvenlik iyileştirmelerinden bahsedilmiyor. Sahipler güncellemeler için destek sitesini düzenli olarak kontrol etmelidir.
Daha da endişe verici olanı ise Linksys’in sorunu kamuoyuna açıklamamış olması. Testaankoop, geçen Kasım ayında Belçika ve Birleşik Krallık’taki şirkete güvenlik açığını bildirdi ancak herhangi bir yanıt alamadı. İlk keşiften sonra yayınlanan aygıt yazılımı sorunu çözmedi ve Linksys, son raporundan bu yana Testaankoop ile iletişime geçmedi. Kuruluş, önceden yüklenmiş üçüncü taraf yazılımlarının suçlu olabileceğini tahmin ediyor ancak bunu yalnızca Linksys doğrulayabildi.