PSA: Benutzer der Mesh-Router Linksys Velop Pro 6E und 7 sollten ihre Passwörter und WLAN-Netzwerknamen über einen externen Webbrowser ändern. Die beiden Modelle übertragen bei der Erstinstallation kritische Informationen auf unsichere Weise an externe Server. Seit der Entdeckung des Problems sind neue Patches erschienen, aber Linksys hat nicht öffentlich auf die Angelegenheit reagiert, und es ist unklar, ob die neueste Firmware sensible Daten dem Abfangen aussetzt.
Zwei Mesh-Router von Linksys senden vertrauliche Informationen unverschlüsselt an einen Amazon-Server, so die belgische Verbraucherorganisation Testaankoop. Durch diese Vorgehensweise könnten Passwörter, WLAN-IDs und andere Informationen für Man-in-the-Middle-Angriffe offengelegt werden.
Beim Testen der Velop Pro WiFi 6E- und 7-Router des Unternehmens stellte Testaankoop fest, dass diese bei der Ersteinrichtung die SSID und das Passwort des Benutzers im Klartext an einen Server in den USA übermitteln. In den Datenpaketen waren auch Benutzersitzungszugriffstoken und Datenbankidentifikationstoken enthalten. Angreifer könnten diese Informationen abfangen, lesen und ändern, ohne dass der Benutzer oder der Amazon-Server davon etwas mitbekommen.
Besitzer eines der beiden Modelle sollten ihre SSID und ihr Passwort über einen Browser auf einem PC oder Mobilgerät und nicht über die zugehörige App ändern, um zu verhindern, dass die Änderungen unverschlüsselt gesendet werden. Anweisungen dazu finden Sie auf der Support-Website von Linksys.
Nutzer sollten außerdem die Firmware ihres Routers stets auf dem neuesten Stand halten. Auf der Website des Unternehmens finden sich manuelle Downloads für die betroffenen Geräte unter den SKU-Bezeichnungen MX6200 für den Wi-Fi 6E-Router und MBE7000 für die Wi-Fi 7-Variante. Ob die neuesten Patches das Problem jedoch beheben, bleibt unklar.
Testaankoop entdeckte das Problem bei der Firmware-Version 1.0.8 MX6200_1.0.8.215731 für die Wi-Fi 6E-Version und 1.0.10.215314 für das Wi-Fi 7-Gerät. Zum Zeitpunkt des Schreibens hat jedes Produkt seitdem ein Firmware-Update erhalten, aber die kurzen Patchnotizen erwähnen keine Fehlerbehebungen oder Sicherheitsverbesserungen. Besitzer sollten regelmäßig auf der Support-Site nach Updates suchen.
Noch beunruhigender ist, dass Linksys das Problem nicht öffentlich zugegeben hat. Testaankoop meldete die Sicherheitslücke im vergangenen November in Belgien und Großbritannien an das Unternehmen, ohne eine Reaktion zu erhalten. Die nach der ersten Entdeckung veröffentlichte Firmware hatte das Problem nicht behoben und Linksys hat Testaankoop seit seinem letzten Bericht nicht mehr kontaktiert. Die Organisation spekuliert, dass vorinstallierte Software von Drittanbietern der Übeltäter sein könnte, aber nur Linksys konnte dies bestätigen.
