UPC schakelt wps-beveiliging uit in routers van klanten
UPC schakelt komende week bij een flink aantal klanten de wps-functie van de router uit. De provider neemt de maatregel om een beveiligingslek dat in 2011 werd ontdekt te dichten.
De routers van UPC hebben, net als veel andere routers, geen beperking op het aantal pogingen om de wps-code in te voeren. Hackers kunnen dus simpelweg net zolang in blijven proberen te loggen tot zij de juiste toegangscode hebben gevonden.
Maximaal 11.000 pogingen
Daarnaast hebben hackers maximaal 11.000 pogingen nodig om de juiste code te raden. Dit aangezien het EAP-NACK-bericht dat door het access-point naar de client wordt verzonden aangeeft of de eerste helft van de code correct is. Het laatste karakter van de code is daarnaast een checksum van de eerste zeven cijfers. Via een brute force-aanval kan hierdoor in maximaal 11.000 pogingen een toegangscode worden achterhaald.
UPC is overigens niet de enige provider die routers naar klanten heeft verspreid die het beveiligingslek bevatten. Ook klanten van KPN en Ziggo gebruiken volgens de Consumentenbond routers die het lek bevatten. Het gat is op deze routers tot nu toe niet gedicht.
