TP-Link zapomniał odnowić domenę tplinklogin.net – można przejąć routery…?

07 lipca 2016, 08:55 | Aktualności | komentarze 2
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Wiele serwisów – również mainstreamowych w Polsceekscytuje się wygaśnięciem używanej przez TP-Link domeny tplinklogin.net (i potencjalnie kilku innych analogicznych, np.: tplinkwifi.net).

Całość daje prostą funkcję, która po wejściu właśnie na adres http://tplinklogin.net/ umożliwia dostanie się do panelu administracyjnego routera (trzeba oczywiście znać jeszcze login/hasło). Czyli nieważne jaki adres IP ma router i tak DNS zwróci mi ten poprawny (prywatny) adres IP. Sprytne, prawda?

tp-linklogin

Przejęcie tej domeny (ktoś ją zarejestrował) umożliwi więc podanie komuś fałszywego adresu (podłączy się więc do naszego urządzenia) – prawda? No tutaj jestem trochę sceptyczny…

Mając na koncie kilka bugów (OS shell) na TP-Linkach, wiem że całość realizowana jest przez moduł do jądra o nazwie: tp_domain, domain czy podobnie (zależy to od modelu urządzenia). Zobaczcie lsmod na żywym routerze:

tpdom

Jeśli mam zatem TP-Linka – i ktoś z LANu wysyła request DNS do tej domeny, moduł jądra przechwytuje tą komunikację i odsyła odpowiednią odpowiedź (z IP routera) – realny serwer DNS dla domeny tplinklogin.net nie bierze udziału w całej zabawie. Więc i jego ustawienia nie mają w tym przypadku większego znaczenia. Zobaczcie np. taki request (router w ogóle nie podłączony na WAN, adres IP serwera DNS – „z czapki”:
tpdom4

W pewien sposób nawet udało mi się dotrzeć do źródła w C tego modułu, ale o tym w innym odcinku ;), na razie tylko zajawka:

tpd1

tpd2

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Uspokajające z punktu widzenia bezpieczeństwa. Wizerunkowo tplink dał ciała. Przecież nawet jak w filmie ktoś podaje zmyslona domenę to jeszcze przed pierwsza emisja jest juz zarejestrowana.

    Odpowiedz
  2. Termit242

    A co, jeśli roztargniony użytkownik urządzenia mobilnego będzie się chciał z niego zalogować do tej strony i przypadkiem nie będzie miał włączone WLAN tylko komórkową transmisję danych? Narażony jest wtedy na przejęcie przez osoby trzecie poświadczeń do lokalnego routera i ewentualną próbę infekcję niepożądanym oprogramowaniem.

    Odpowiedz

Odpowiedz