De Velop Pro WiFi 6E- en 7-meshrouters van het merk Linksys ondervinden volgens de Belgische consumentenorganisatie Testaankoop al meer dan een halfjaar beveiligingsproblemen. De routers zouden tijdens de installatie in plaintext inloggegevens naar een server in de VS sturen.
Het gaat volgens Testaankoop om de Linksys Velop Pro WiFi 6E, de uitvoeringen MX6201-KE en MX6203-KE, en de Linksys Velop Pro 7. Beide meshroutersystemen verzenden volgens de consumentenorganisatie tijdens het installatieproces 'de geconfigureerde SSID-naam en het wachtwoord' in plaintext naar een Amazon-server in de VS. Ook zouden ze identificatietokens en een toegangstoken voor de gebruikerssessie verzenden, wat een man-in-the-middleaanval mogelijk zou maken. Bij zo'n aanval wordt de verbinding tussen de router en een server onderschept, waardoor weer gegevens gestolen zouden kunnen worden.
Testaankoop beweert Linksys meermaals te hebben ingelicht over de kwetsbaarheid: voor het eerst in november 2023 en onlangs na de release van een firmware-update. Ondanks de meldingen zou het probleem nog niet verholpen zijn, zelfs niet na de firmware-update.
Source: Tweakers.net