image

Google-ontwikkelaar onthult lek in TP-Link SR20-router

vrijdag 29 maart 2019, 11:06 door Redactie, 7 reacties

Een ontwikkelaar van Google heeft een ongepatcht beveiligingslek in de SR20 "smart home" router van fabrikant TP-Link onthuld omdat de fabrikant niet binnen 90 dagen met een patch kwam. Matthew Garrett is security-developer bij Google, maar heeft details over de kwetsbaarheid op eigen titel gepubliceerd.

De SR20 is een Zigbee/Z-Wave hub en router, met een touchscreen voor configuratie en bediening. De router moet de rol van Internet of Things-hub vervullen, waarbij het allerlei smart home-oplossingen verbindt. Garrett gebruikte Ghidra, de gratis reverse engineering tool van de NSA, om het TP-Link device debugprotocol te analyseren. Dit debugprotocol draait op de meeste TP-Link-apparaten.

Versie 2 van het protocol werkt alleen met het beheerderswachtwoord van de router. Versie 1 van het protocol vereist echter geen authenticatie. In het geval van de SR20 blijken bepaalde commando's van versie 1 nog steeds toegankelijk te zijn. Een aanvaller op het lokale netwerk kan hier gebruik van maken om op de router code met rootrechten uit te voeren.

Garrett waarschuwde TP-Link in december via een speciaal webformulier. Na de bugmelding te hebben verzonden verscheen er een melding dat er binnen drie werkdagen contact op zou worden genomen. Enkele weken later had de Google-ontwikkelaar nog steeds geen reactie gekregen, waarop hij een tweet naar TP-Link verstuurde, maar ook deze vraag bleef onbeantwoord. Daarop heeft Garrett nu de details van de kwetsbaarheid openbaar gemaakt. De ontwikkelaar adviseert TP-Link om het "security feedback" formulier te lezen en geen debugprotocollen in productiefirmware te draaien.

Reacties (7)
29-03-2019, 12:11 door Anoniem
Hey Google, zet eens wat druk op de patch policy (of juist het ontbreken daarvan) van Android telefoons of willen we gewoon doorgaan met dit soort brakke zooi?
29-03-2019, 13:11 door Anoniem
Garrett waarschuwde TP-Link in december via een speciaal webformulier.
Deze hoop ik(?): https://www.tp-link.com/us/support/contact-technical-support/#Email-Support

Want TP-link was toch in het verleden altijd behoorlijk responsief bij gemelde bugs en vaak de eerste die een patch klaar had, dus ik vraag me toch een beetje af of het juiste kanaal wel door Garrett werd aangesproken.
29-03-2019, 13:30 door Anoniem
Door Anoniem: Hey Google, zet eens wat druk op de patch policy (of juist het ontbreken daarvan) van Android telefoons of willen we gewoon doorgaan met dit soort brakke zooi?
Nee niet op je eigen bord poepen.
Liever andere bedrijven aanvallen.
29-03-2019, 14:49 door Anoniem
Door Anoniem: Hey Google, zet eens wat druk op de patch policy (of juist het ontbreken daarvan) van Android telefoons of willen we gewoon doorgaan met dit soort brakke zooi?

Hey Anoniem, Je weet dat dit het probleem ook meestal bij de telefoon leveranciers ligt. En dus niet bij Google?
29-03-2019, 16:53 door Anoniem
Door Anoniem:
Door Anoniem: Hey Google, zet eens wat druk op de patch policy (of juist het ontbreken daarvan) van Android telefoons of willen we gewoon doorgaan met dit soort brakke zooi?

Hey Anoniem, Je weet dat dit het probleem ook meestal bij de telefoon leveranciers ligt. En dus niet bij Google?

Je moet het natuurlijk even uitgelegd hebben, snap ik.
Google geeft Android in licentie aan telefoonfabrikanten om daarmee data te verzamelen. Google stelt geen eisen aan die fabrikanten m.b.t. het patchen van een brak OS wat ze natuurlijk makkelijk kunnen doen omdat ze anders geen licentie verstrekken aan die telefoonboer. Dat doen ze niet omdat ze schijt hebben aan lekke producten zolang die producten maar zoveel mogelijk data voor Google verzamelen. Net zo goed als rommel in de PleeStore waar ze nauwelijks controle op uit oefenen.

Wat ze wel doen is keer op keer anderen in ee kwaad daglicht stellen als ze niet snel genoeg reageren, heb je al eens een bericht van Goole gelezen waarin ze zeggen dat er meer dan een miljard lekke Android devices rondzwerven?
01-04-2019, 14:46 door Anoniem
Als je een router koopt, het eerste wat je moet doen is die fabriekszooi eraf halen en er DD-WRT of OpenWRT op mikken. Heb ik ook gedaan met twee TP-Link routers. Sinds ik dit gedaan heb draaien ze beiden tien keer beter, is de ontvangst stukken beter (zelfs de verste kamer heb ik geen uitval meer, in tegenstelling tot de eigen software, die een onstabiele verbinding gaf), hoef de routers nooit meer te herstarten omdat het cache weer eens was volgelopen en ik geen verbinding meer had, en.... er zijn regelmatige updates bij beiden.

En dan heb ik het nog niet eens gehad over de mogelijke risico's met betrekking tot de ingebouwde spyware die je soms weleens op routers tegenkomt. Vraag maar aan Cisco.
02-04-2019, 13:29 door Anoniem
Er is ondertussen al een patch voor uitgebracht. Overigens is het apparaat enkel in amerika verkocht.

https://www.tp-link.com/us/support/download/sr20/#Firmware
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.