Tlačítko WPS na routeru připojí televizi k Wi-Fi bez hesla. Nechat ho zapnuté je ale hazard

Jedno stisknutí a televize je online. Jenže to samé tlačítko může otevřít dveře i někomu, kdo stojí za zdí s notebookem.

Zdroj fotografie: Unsplash

WPS (Wi-Fi Protected Setup) najdete na většině domácích routerů včetně těch od O2, T-Mobile nebo Vodafone. Funguje jednoduše: na televizi zvolíte připojení přes WPS, do dvou minut stisknete tlačítko na routeru a obě zařízení si vymění přístupové údaje bez jediného opsaného znaku hesla. Sony to ve svých návodech popisuje doslova jako dva kroky. Problém ale není v tom, že WPS existuje. Problém je v tom, co se děje, když ho necháte zapnuté i poté, co televize dávno běží.

Tlačítko a PIN jsou dvě různé věci

Tady začíná zmatek, který většina návodů přeskakuje. WPS má dva režimy a jejich rizikovost se zásadně liší.

• Push Button (PBC) je to, co si většina lidí představí: fyzické stisknutí tlačítka, router otevře párovací okno na dvě minuty, pak se samo zavře. U T-Mobile TCL HH132 stačí podržet tlačítko tři sekundy a po dvou minutách bez spojení se funkce automaticky vypne. O2 Optic Box aktivní párování signalizuje oranžovým blikáním LED. Tohle je relativně bezpečný scénář, útočník by musel být v dosahu signálu přesně v tom krátkém okně.
• WPS PIN je jiná liga. Router má přiřazený osmimístný číselný kód a zařízení se může připojit jeho zadáním kdykoliv, bez fyzického přístupu k routeru. A právě tady je konstrukční slabina, kterou už v roce 2011 zdokumentoval CERT: osmimístný PIN se ve skutečnosti ověřuje ve dvou polovinách, takže útočník nepotřebuje zkoušet sto milionů kombinací, ale zhruba jedenáct tisíc. S běžným nástrojem a trpělivostí v řádu hodin.

Co přesně riskujete

Když je WPS PIN trvale povolený a útočník sedí v dosahu vaší Wi-Fi (třeba v autě před domem nebo v sousedním bytě), může systematicky zkoušet kombinace, dokud PIN neuhodne. Úspěch mu dá heslo k vaší síti, přístup ke všem zařízením v domácí LAN a podle CERT i možnost měnit konfiguraci routeru nebo způsobit výpadek služby.

Novější routery se brání. NETGEAR na svých modelech zavedl dočasný lockout po sérii neúspěšných pokusů; po několika chybných PINech router na čas přestane odpovídat. Jenže lockout útok zpomalí, nezastaví. Sám NETGEAR proto doporučuje PIN funkci vypnout úplně.

A pak je tu ještě jeden signál, který mluví jasně: Google u svých Nest Wifi a Google Wifi WPS vůbec nepodporuje. Důvod je bezpečnost. Sony zase u televizí s Androidem 8 a novějším WPS z nastavení sítě odstranilo. Trend je jednoznačný, moderní ekosystémy od WPS ustupují.

Jak je to u českých operátorů

Na českém trhu je WPS běžně přítomné, ale chování se liší model od modelu:

• T-Mobile TCL HH132 – WPS se aktivuje třísekundovým stiskem tlačítka, běží dvě minuty, pak se samo vypne. V menu Nastavení > Wi-Fi > WPS lze funkci spravovat i softwarově.
• O2 Optic Box (Zyxel) – fyzické tlačítko WPS, aktivní párování poznáte podle oranžově blikající LED. Bez stisku je párovací okno zavřené.
• O2 Smart Box – WPS se spouští dlouhým stiskem multifunkčního tlačítka, ale v administraci najdete i samostatnou volbu pro aktivaci/deaktivaci WPS včetně rozlišení PBC a PIN režimu.
• Vodafone Station – samostatné tlačítko s LED indikací, manuál instruuje aktivovat WPS současně na zařízení i modemu.

Důležité upozornění: žádný z operátorů ve veřejně dostupných materiálech jednoznačně neuvádí, zda je WPS PIN v továrním nastavení trvale povolený. Proto má smysl to ověřit přímo v administraci svého routeru.

Co udělat doma za pět minut

Nejdřív zjistěte stav. Přihlaste se do administrace routeru (typicky přes adresu 192.168.1.1 nebo 192.168.0.1 v prohlížeči) a hledejte sekci Wi-Fi nebo Wireless. U TP-Linku je cesta System Tools > System Parameters > WPS, u O2 Smart Boxu je to pokročilé Wi-Fi nastavení. Najděte přepínač „Enable WPS“ nebo „WPS PIN“ a vypněte ho.

Pak zkontrolujte, kdo je ve vaší síti. FTC doporučuje hledat v rozhraní routeru seznam připojených zařízení, bývá pod názvem Connected Devices, Wireless Clients nebo DHCP Clients. O2 Smart Box má přímo sekci „Moje připojená zařízení“ s historií připojení. Neznámý název nebo MAC adresa v seznamu je důvod ke změně hesla.

A pokud vás láká maximální zabezpečení: přechod na WPA3 otázku WPS vyřeší sám. Jak uvádí ASUS, WPA3 připojení přes WPS vůbec neumožňuje. Čím modernější zabezpečení, tím méně prostoru pro staré zkratky.

Pohodlí ano, ale jednorázově

Pokud zítra rozbalíte novou televizi a nechcete luštit dvacetimístné heslo z nálepky na routeru, klidně WPS použijte. Stiskněte tlačítko, spárujte, hotovo. Pak ale zajděte do administrace a funkci, hlavně PIN režim, vypněte. Alternativou je sdílení Wi-Fi přes QR kód přímo z telefonu s Androidem, které nepřidává žádný útočný vektor navíc.

WPS bylo chytré řešení pro dobu, kdy se hesla opisovala z papírků. Ta doba skončila a s ní by mělo skončit i trvalé zapnutí téhle funkce na vašem routeru.