De malware die onlangs nog voor problemen bij Deutsche Telekom en verschillende Britse internetproviders zorgde blijkt routers niet alleen te infecteren, maar ook het wifi-wachtwoord te stelen. Dat meldt Andrew Tierney van het Britse beveiligingsbedrijf Pen Test Partners in een blogposting.

De malware gebruikt de TR-064- en TR-069-configuratieprotocollen over poort 7547 om toegang tot de routers te krijgen. Vervolgens wordt de malware geladen die de besmette router naar andere kwetsbare routers laat zoeken. Pen Test Partners heeft een honeypot draaien en zag onlangs een aanval waarbij werd geprobeerd om niet alleen het apparaat te besmetten, maar ook het wifi-wachtwoord te stelen.

Vanwege de aanvallen hebben verschillende providers inmiddels updates uitgebracht om het probleem te verhelpen. De update schakelt de TR-064-interface op de router uit en reset de wachtwoorden naar die op de achterkant van de router staan vermeld. Volgens Tierney werkt deze oplossing niet. "De meeste klanten wijzigen hun wifi-wachtwoord niet van die op de router staat vermeld. Waarom zouden ze? Ik denk dat ze niet eens weten dat dit kan."

Dit houdt in dat zelfs als de router door de provider wordt gereset, de aanvallers nog steeds over werkende wifi-sleutels beschikken die ze eerder hebben gestolen. Enige vereiste is wel dat een aanvaller in de buurt van het wifi-netwerk moet zijn om van de gestolen inloggegevens gebruik te maken. Volgens Tierney is de kans dan ook groot dat bij klanten van TalkTalk en andere internetproviders de wifi-wachtwoorden zijn gestolen en ze daarom risico lopen. "Tenzij TalkTalk en andere providers kunnen bewijzen dat de wifi-wachtwoorden van klanten niet zijn gestolen, zouden ze alle routers van klanten met spoed moeten vervangen." In de tussentijd krijgen gebruikers het advies om hun router te resetten en dan het wifi-wachtwoord te veranderen.