Linksys Velop-routers blijken kwetsbaar voor hackers
Dat probleem speelt volgens Testaankoop al langer met Linksys Velop-routers. Meer specifiek gaat het om de Velop Pro WiFi 6E met modelnummers MX6201-KE en MX6203-KE, en de Velop Pro 7. Beide meshsystemen sturen al meer dan een half jaar inloggegevens – de SSID-naam en het wachtwoord – naar de Linksys-servers in de VS. Opmerkelijk is dat Linksys deze inloggegevens niet versleutelt, waardoor ze onderschept en misbruikt kunnen worden door hackers.
Naast de inloggegevens van het wifi-netwerk verstuurt Linksys ook een identificatietoken en de toegangstoken voor een gebruikerssessie; eveneens in plaintext. Volgens Testaankoop kan een hacker die gegevens misbruiken voor een zogeheten man-in-the-middle-aanval (MITM). Dat is een aanval waarbij de hacker ‘plaatsneemt’ tussen jou en de ontvanger, en de gegevens die je verstuurt kan opvangen. Hierdoor kunnen bijvoorbeeld je e-mails gelezen en veranderd worden, licht Test Aankoop toe.
Gebruik de webinterface
Opmerkelijk is dat Linksys het probleem nog steeds niet heeft opgelost. Testaankoop heeft de Belgische en Britse tak van het routermerk in november 2023 ingelicht. Sindsdien kwam het wel met een firmware-update, maar het probleem is daarmee niet opgelost. Nog opmerkelijker is dat de Velop Pro 7 relatief nieuw is, maar met dezelfde problemen kampt.
Intussen raadt de consumentenorganisatie het af om de Velop Pro WiFi 6E of Velop Pro 7 aan te schaffen. Wie deze routers al in huis heeft staan, doet er goed aan de Linksys-app niet meer te gebruiken. De beveiligingskwestie speelt immers alleen via de app voor Android en iOS. Stel je het wifi-netwerk in via het webportaal, dan zijn je gegevens wél veilig, stelt de organisatie.
Kortom: er is dus geen noodzaak om de routers langs te leggen, maar voor nu is het wel af te raden om de mobiele app te gebruiken. Dat de routerfabrikant dusdanig traag reageert op zo’n ernstig beveiligingslek roept wel vraagtekens op over de algehele beveiliging van de routers in kwestie.
