Gå til innhold

TEST: Vilfo VPN

Smedsrud

Av Smedsrud
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
MrMKE

MrMKE

Skrevet
Skrevet (endret)

Er det ikke bedre med skikkelig router der man kan laste ned advanced tomat?

 

 

Denne må være kraftig for å kunne kjøre parallelle vpn tjenster samtidig. Hvor god hastighet klarer den samtidig med alt aktivert?

 

Jeg gikk for Asus rt ac3200 som også har OpenVPN Client rett ut av boksen. Den klarer bare 35mbit over VPN. Men det fungerer til streaming fra Spania til Norge.

 

Om jeg legger inn advanced tomato. Så vil jeg kunne prioritere VPN enheter.

 

Jeg skjønner ikke minuset med VPN utenfor routeren sin dekning. Hva er ønsket her? At mobilen er tilkoblet routeren uansett sted?

Mangler den VPN server?

 

Er like enkelt å bruke direkte VPN med mobil og desktop apper.

Endret av mrMKE
  • Liker 1
Lenke til kommentar
bojangles

bojangles

Skrevet
Skrevet (endret)

Hahahaha 3799 spenn??? Da skal jeg spare dere alle de kronene med en gang!

 

ExpressVPN har egenutviklet Firmware til et titalls routere så du kan velge selv. De er noen av de dyreste for 12mnd abonnoment men absolutt topp 3 av alle tilbydere! Anbefaler asus wrt for Expressvpn fastvare.

Om du legger inn firmware el software fra en random VPN tilbyder så har du jo egentlig hoppet bukk over all sikkerhet. For hva om VPN tilbyderen ikke egentlig ønsker å selge deg VPN men samle mest mulig data, passord, sensitive personopplysninger etc? Straks du la inn softwaren dems så kan du jo i realiteten ha gitt dem full aksess til alt som skjer på ditt nettverk. Når det gjelder ExpressVPN så står det (ikke sjekket nå men stod tidligere)  spesifikt på sidene dems at de samler data fra brukerne.......

Endret av bojangles
Lenke til kommentar
Djn

Djn

Skrevet
Skrevet (endret)

Om du legger inn firmware el software fra en random VPN tilbyder så har du jo egentlig hoppet bukk over all sikkerhet. For hva om VPN tilbyderen ikke egentlig ønsker å selge deg VPN men samle mest mulig data, passord, sensitive personopplysninger etc? Straks du la inn softwaren dems så kan du jo i realiteten ha gitt dem full aksess til alt som skjer på ditt nettverk. Når det gjelder ExpressVPN så står det (ikke sjekket nå men stod tidligere)  spesifikt på sidene dems at de samler data fra brukerne.......

 

Enhver VPN-tilbyder kan jo samle inn akkurat hva de vil, uansett - du ruter jo eksplisitt all trafikken din gjennom deres servere. Selvfølgelig, de kan få med seg mer med en enhet inne på lokalnettverket ditt, men når det gjelder å sende passord osv til nettsider blir det vel ganske likt: De kan uansett ikke dekryptere HTTPS, og de kan uansett plukke opp alt du sender ut i klartekst.

 

Angående Vilfoen, så ser det ut som om den kjører en modifisert utgave av LEDE på en PC fra Qotom, hvor modifikasjonene inkluderer spennende løsninger som "ha root-passordet lesbart for alle brukere".  ( https://www.ctrl.blog/entry/vilfo-review-p1-overview )

Endret av Djn
Lenke til kommentar
bojangles

bojangles

Skrevet
Skrevet (endret)

Leste den linken fra deg og må si at vilfoen ble grundig punktert. Er jo rent skrap jo. Ville styrt helt klar av den for egen del. Også mtp prisen. For den prisen får du jo bygget et råskinn av en maskin til å kjøre den villeste rutern du kan tenke deg. Smell på pfsense eller openwrt etc og du er golden. 
 
Fra linken din:
 

Broadcasting passwords to your neighbors
Vilfo doesn’t come with a default password for the WiFi, so the initial setup process in Vilfo’s web administration interface happens over HTTP on an unencrypted WiFi connection that is literally broadcast in the clear to your neighborhood.
You’re required to input a lot of information in the web administration interface before you get the option to enable encryption on the connection. At the very least, you must provide the following: a unique license key for Vilfo, your email address, your username and password for at least one predefined VPN service provider, your desired username and administrative (root) password for the router, and at the end you also input your desired WiFi name and password. All of this information is transmitted in clear-text and can trivially be collected by nearby devices.

 

 

 

Trivial privilege escalation

The root password is stored in a file called /etc/vilfo/.env. This file has no access restrictions and can be read by any system user or anyone who gains access to the system. This file is read into the system environment and is made available as an environmental variable called LEDE_PASSWORD.

The password in the file and variable is stored as a base64-encoded string. This is not a secure and irreversible cryptographic hash function, but a trivially reversed data encoding format that yields the root password in plain-text.

This makes it trivial for anyone who gains access to the system to escalate to root privileges.

This isn’t an oversight either: it was designed to work this way. There are even unit tests included as part of the web interface to verify that the root password is decodable to plain text.

 

 

 

Web interface shares a lot of data with third-parties

The Vilfo router doesn’t yet have a privacy policy. However, it sure does collect and share a lot of data with its partners.

First of all, the web administration interface includes Google Analytics, a online solution that collects data about your online behavior and how you interact with an app or website. The collected data includes all the MAC addresses on your local network, which would be considered personal data under the General Data Protection Regulation (GDPR). It’s also a violation of Google Analytics’ own Terms of Service to collect this type of data on users through the service.

The web interface also includes a live chat support interface from a company called Intercom. The chat system lets you chat with Vilfo’s support staff. This sounds like a neat but pretty flawed idea. You’d most likely only want to chat with customer support when the network or your internet connection isn’t working. In these situations, the live-chat system would simply not be available.

Intercom also collects data about what you do inside the web administration panel, plus of course any information you type in to the chat system.

 

 

 

Shares diagnostic data (including passwords) with Intercom

You can choose to submit diagnostic data to Vilfo via the web administration interface. There is no notice in the web interface indicating that Vilfo will be able to contact you regarding your submitted diagnostic data, yet the data includes the email address you provided during the initial setup process.

The diagnostic data contains a dump of your router configuration that includes the MAC address of every device that have been observed on your network in the last four months plus behavioral data collected about each device, your email address, the password to your wireless network, and information about your VPN usage. This is waaay more information than Vilfo should be collecting let alone sharing with a third-party service provider.

 

Endret av bojangles
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...