TP-Link的供应过时的固件在其欧洲网站⅓

中国的网络设备制造商TP-Link的具有世界各地60个国家特定网站在其中24个是在欧洲。虽然我们仍然在等待TP-Link的发布固件更新解决上个月的KRACK攻击的Wi-Fi漏洞披露;我倒是看看,看看如何跟上时代的每个24个网站是在可用的固件版本的条款。结果是令人沮丧的,至少可以说。

欧洲有一个单一的“统一标准”的无线电设备,包括Wi-Fi功能的设备。那么,瑞士和土耳其并不完全在船上,直到指令五十三分之二千〇一十四/ EU生效 — but in essence there should be no need for country specific firmware for Wi-Fi networking equipment within theEEA- 单市场。

TP-Link distributes a few different regional variants of their firmware, but the European market — with some exceptions that I’ll get back to later — gets the same EU variant of the firmware. This EU variant should meet European regulations and contains every language the device is capable of in one package. So whether you’re downloading from the French or the Polish TP-Link website you’ll end up downloading the exact same file.

我买了TP-Link的RE650中继上个月,并注意到我的地方是TP-Link在这里挪威网站是丹麦和瑞典的邻国后的两个固件版本。一些周围挖后,我发现了更多的差异与TP-Link的产品有哪些固件版本在哪个国家。我决定进一步挖掘了一下。

我看着9 TP-Link产品这是在欧洲销售,并检查每个TP-Link的26个欧洲网站提供的产品固件版本(一些国家有多个语言,但我发现在同一个国家内,不同语言之间没有区别)。

产品的八个随机选择加上我承认我的RE650(这是一样的便宜RE500没有性能帽)。These were the products I tested — spanning multiple product categories, performance and price ranges, and release years:

  • AD7200 V2
  • 射手C3200 V1
  • AP500 V1
  • RE305 V1
  • RE650 V1
  • TL-PA9020P V1
  • TL-WA801ND V5
  • TL-WA850RE V2
  • TL-WR802N V4

这意味着,我一共为他们的固件版本216个支持页面检查。

您可以跳过至年底,并深入到原始电子表格与我的发现,或继续读我的分析。

TP-link的状态在欧洲的固件分发

只有捷克共和国,芬兰,法国,意大利,荷兰和罗马尼亚都可以在他们的区域网站中列出的所有产品的最新固件版本。换句话说,上有TP-Link的欧洲网站的75%的问题。

如果我们扩展该列表包括与两个或更少的缺失的固件版本,但没有过时固件的国家,我们可以添加德国,希腊和波兰到列表中。这样还剩下欧洲TP-LINK网站过时或缺失的固件版本的62.5%。

只有3种测试产品有可用的固件版本在每一个地区,只有那些人有适用于所有地区(因为第一和唯一的更新二年)的最新版本。

固件列表,或11,57%的25,已经过时相比,最新版本,我们在欧洲范围内分布的欧盟特定的固件版本为。固件版本为39(18,06%)的产品不可用。

这些数字堆叠在彼此的顶部,创造了29,63%的机会,或许你已经过时或者根本没有固件通过访问当地的TP-Link网站。

某些国家的一些产品页面(这似乎完全是随机的,哪些),有一个大的红色警告,通知你,你不应该从任何地方网站上安装TP-Link的固件除非您购买的产品之一。

然而,欧盟内我只发现了三种产品(产品33%的测试),该有什么,但在欧盟统一市场的变体和所有这些都是具体的发布为英国。英国特定的固件版本中的两个是一样多6个月至一年的过时相比于欧盟的固件。

值得注意的是,两名英国具体的固件版本都是针对直接粘成电源插座产品。英国的电源插座不与电源插座在欧洲其他国家最常见的兼容。

我觉得有点不可思议的是TP-Link的加入了大红色预警给出过时的固件的更严重的问题,他们在欧洲区域网站的影响只有1.39%(或33%的英国境内)的问题。

我不会说他们是错的,从安装来自其他市场的固件斑点的用户望而却步,但这里的问题这么TP-Link不为欧洲市场做好。用户可能通过不听他们的警告更好。

还有比任何其他国家都可用较少的固件更新在瑞士;直到最近,他们没有板载的统一欧洲标准。所有在瑞士可用的更新,使用TP-Link的固件的欧盟标准变。

然而,奥地利,比利时,和波罗的海国家也有固件版本比其他国家少,虽然我没有确认的几个网络搜索,大部分的测试产品在每个国家的操作至少两个在线商店里有售。

这一切听起来很糟糕。欧洲最新的固件版本可以尽可能一年过时相比,美国特有的固件变种。值得注意的是,对于美国新固件的更新日志包含似乎没有以任何方式区域具体变化。

没有自动更新

TP-Link的有没有适当的自动更新任何自己的产品,据我可以告诉。我只能用我自己的RE650证实了这一点。虽然,我也看着其他TP-Link产品通过Web界面仿真器来说,在其网站上TP-Link可并不见的自动固件更新是一个选项证据。

您可以登录到你的路由器的Web界面和手动检查并应用更新。

我伸出TP-Link的,询问客户如何保持自己了解最新的固件更新。他们没有提供电子邮件清单,整合馈源,或其他通知时,你的产品更新。技术支持人员谁应保持无名说,它的“不建议该设备是否工作正常更新固件。

同样的技术也提出要亲自给我发电子邮件,如果有可用的新固件更新。然而,在我的国家提供的固件版本已经落后两个版本,当此电子邮件交换了。仅一周公开披露的KRACK攻击漏洞进行之前这些电子邮件进行了交流。

另外,我通过电子邮件发送TP-Link的有关接收安全建议的方法。TP-Link的发布他们一个专门支持页面,但没有电子邮件列表,聚合feed或其他方式通知新的披露。TP-Link的还没有对这封电子邮件中超过一个月。同样,此消息一周KRACK进攻披露前发送。

不仅是TP-Link的在欧洲非常不可靠,令人费解的固件分布;但客户是定期检查和应用新的固件自行承担全部责任。我怀疑很多TP-Link的客户关心不够,检查和定期更新其固件。

结论

TP-Link的固件分布似乎是有点乱的,说实话,和混乱似乎是完全的TP-Link的自己造成的。

缺乏自动更新与这取决于哪个国家你很难让客户保持其固件为最新的TP-Link的网站不可靠的信息相结合。

我们到KRACK攻击漏洞披露了一个月,TP-Link的尚未发布任何产品的更新。这并不是说很可能是TP-Link将负责管理发布新的更新,对每一位客户的地区性网站,也不会他们的客户将有知道关于任何更新的任何方式。

I briefly looked into the firmware distribution of ASUS, Linksys, Netgear, and other competitors — and they all have a single global firmware download, or two–three regional variants at the most all being offered on the same download page.

我甚至在使用相同的网络芯片组作为TP-Link产品使用内置的其他产品专门看了:他们仍然只有一两个不同的固件变体被分布在全球各地。

从TP-Link产品保持良好的路程,如果你的任何一点意识有关设备的安全性。