何年も前から存在する脆弱性が、英国の一部の家庭用 Wi-Fi ネットワークのセキュリティを脅かし続けています。
ソフトウェア開発会社IndigoFuzzによると、TalkTalkのスーパールーターのWPS機能は、ゲートウェイの無線ネットワークパスワードを盗まれる可能性があるという。英国のISP兼通信会社は2014年にこの欠陥について警告を受けていたが、その後何の対策も取られていないようだ。
IndigoFuzzの月曜日のアドバイザリによると、これらのルーターには常時オンになっているWPSペアリングオプションが搭載されています。このWPS接続は安全ではないため、範囲内にいる攻撃者は容易に入手できるハッキングツールを使用してこれを悪用し、ルーターのWi-Fiパスワードを盗み出す可能性があります。
つまり、TalkTalk スーパー ルーターの近くにいる場合は、不安定な WPS 機能を使用して Wi-Fi パスワードを調べ、ワイヤレス ネットワークに接続することができます。
トークトークのCEO、ダイド・ハーディングが280万ポンドを手にする
続きを読む
「この方法は、同意した当事者の複数の TalkTalk スーパー ルーターで成功したことが証明されており、この脆弱性がこの特定のモデル/バージョンのすべての TalkTalk スーパー ルーターに影響を与えることを示唆するのに十分です」と IndigoFuzz チームは説明しました。
「トークトークは過去にこの脆弱性について通知を受けていたが、何年も経った今でも修正パッチを当てていない。」
通常、このような脆弱性を発見したコンピュータセキュリティ研究者は、影響を受けるベンダーに対し、詳細を公表する前に、少なくとも30日間の待機期間を設け、パッチや緩和策を開発・展開する猶予を与えます。しかし、今回のケースでは、TalkTalkの加入者が2014年にWPS機能の安全性に問題があると公に警告していたため、IndigoFuzzは直ちに情報を公表しました。そのため、ISPは機器の修正に十分な時間的余裕がありました。
実際、研究者たちは、2011年以降ずっと、ルーターの WPS 機能のさまざまな欠陥を解明してきました。
セキュリティに問題を抱えるトークトーク社には、この問題に対処するのに4年もの時間があったため、IndigoFuzzはあと30日あれば大した問題ではないと判断し、今週、情報開示を実施した。「この記事の目的は、トークトーク社に対し、顧客を守るために直ちにこの脆弱性を修正するよう促すことです」とIndigoFuzzは述べている。
広報担当者はThe Register紙に対し、「一部の古いルーターに問題が報告されていることを認識しています。これは、稀な状況下では第三者がゲートウェイの無線ネットワークパスワードにアクセスできる可能性があることを意味します。当社は機器サプライヤーと緊密に連携し、脆弱性の可能性があるモデルには定期的なアップデートおよびメンテナンスプログラムの一環としてパッチを適用しています。」と述べた。®
