To sikkerhedsforskere afslørede en fejl i Comcasts onlineaktiveringsportal, der afslørede en kundes hjemmeadresse sammen med Wi-Fi-netværkets navn og adgangskode i almindelig tekst. Inden for få timer efter at have lært af fejlen, som Karan Saini og Ryan Stevenson havde afsløret, lukkede Comcast Xfinity-aktiveringssiden ned, med henvisning til kundesikkerhed som sin største bekymring.
For at kunderne kan aktivere deres routere, skal de besøge en Xfinity aktiveringswebsted for at indtaste nogle brugeroplysninger for at konfigurere deres router og service. Saini og Stevenson opdagede, at selvom hjemmesiden beder om en kundes fulde adresse, var der kun brug for en lejlighed eller et husnummer sammen med et konto-id. Begge oplysninger, der kræves for at få adgang til aktiveringsportalen, kunne nemt findes på en kasseret regning.
Anbefalede videoer
Aktiveringsportalen fortsætter med at fungere og returnerer oplysninger om kunden og Wi-Fi-netværket, selv efter at routeren og hjemmebredbåndstjenesten er blevet aktiveret.
Relaterede
- New Worlds handelssystem lukkes ned efter fejl tillader spillere at duplikere guld
- Comcast føjer Hulu til Xfinity Flex og X1, efterhånden som social distancering stiger
- Ny Comcast-funktion begrænser mængden af tid, børn bruger på internettet
Hvis en kunde bruger en Comcast eller Xfinity-mærket router, så fortsætter aktiveringsportalen med at returnere opdaterede netværksoplysninger, så hvis en kunde ændrer netværksnavnet eller adgangskoden, vil den seneste information blive vist ved aktiveringen portal. ZDNet bemærkede, at der ikke er nogen måde for en kunde at fravælge dette system. For kunder, der bruger deres egen router, opdagede publikationen, at portalen ikke har adgang til Wi-Fi-netværkets navn og adgangskode til at vise.
På det primære niveau er sikkerhedsproblemet, at kundens netværksdata og hjemmeadresse ikke er beskyttet ved at kræve oplysninger, der ikke er let tilgængelige via et kontoudtog. Yderligere, når en hacker har fået netværksdataene, kan de bruge dem på en ondsindet måde, hvis de er i nærheden af Wi-Fi-netværket. Netværks-id'et og adgangskoden kan bruges til at få adgang til ukrypteret webtrafik, der passerer gennem routeren. Derudover kan hackere også midlertidigt låse brugere ude ved at ændre netværksnavnet og adgangskoden, når de har adgang.
Comcast har siden deaktiveret denne funktion på sin hjemmeside for at rette sikkerhedsfejlen. "Inden for timer efter at vi lærte dette problem, lukkede vi det ned," sagde en talsmand for Comcast til ZDnet. "Vi gennemfører en grundig undersøgelse og vil tage alle nødvendige skridt for at sikre, at dette ikke sker igen." I en særskilt udtalelse til Gizmodo, bemærkede Comcast, at det ikke mener, at nogen data blev tilgået forkert som følge af denne fejl.
Nyheden om fejlen kommer på et tidspunkt, hvor Comcast lancerer sin egen mesh netværkstilbehør.
Redaktørernes anbefalinger
- Mere end 80 % af de websteder, du besøger, stjæler dine data
- Xfinity Mobile tilføjer 5G til sine netværk – gratis
- Comcast præciserer sit gratis Xfinity Flex-tilbud til kun internetkunder
- Xfinity Mobile-kunder kan nu medbringe deres egen Android-enhed til operatøren
- Comcast lader mennesker med fysiske handicap styre et tv med blot et blik
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
