Slå WPS fra på din router nu: Sikkerhedshullet der har eksisteret siden 2014 udnyttes stadig

Det viser en analyse fra det amerikanske firmware-sikkerhedsfirma NetRise, der i september 2025 gennemgik 24 forskellige netværksenheder fra seks producenter. Konklusionen er klar: kun fire af de 24 enheder har nogensinde fået lukket hullet, og dem der er blevet patchet, fik det først i gennemsnit 9,6 år efter sårbarheden blev offentliggjort.

Sårbarheden hedder Pixie Dust, og den rammer Wi-Fi Protected Setup (WPS), den funktion der lader dig forbinde en enhed til netværket med et tryk på en knap eller en otte-cifret PIN-kode i stedet for det fulde Wi-Fi-password.

Hvad er WPS, og hvorfor er det farligt

WPS blev lavet for at gøre opsætning af trådløse netværk lettere. I stedet for at skrive et langt password ind på hver enhed kan du trykke på en knap eller indtaste en kort PIN-kode. Problemet er, at den PIN-kode i mange routere kan brydes på sekunder.

Pixie Dust-angrebet udnytter, at en række chip-producenter har brugt en svag generering af de “tilfældige” tal, der indgår i WPS-håndtrykket. En angriber inden for Wi-Fi-rækkevidde behøver kun at opsnappe ét enkelt håndtryk og kan derefter regne PIN-koden ud offline. NetRise oplyser, at PIN-koden i tests blev gendannet på et til to sekunder, uanset hvor stærkt det egentlige Wi-Fi-password er.

Sårbarheden blev første gang demonstreret af den schweiziske sikkerhedsforsker Dominique Bongard i sommeren 2014 og er siden indbygget i frit tilgængelige værktøjer som pixiewps, der bruges af sikkerhedsfolk og angribere over hele verden.

En sårbarhed der ikke vil dø

Undersøgelsen omfattede routere, range extenders, access points og kombinerede Wi-Fi- og powerline-enheder. Halvdelen af de undersøgte produkter var fra TP-Link, der er et af de mest udbredte router-mærker i Danmark.

13 af de berørte enheder er stadig i aktiv produktion eller support, men er endnu ikke lappet. Yderligere syv har nået “end-of-life” uden, at producenten har lukket hullet, hvilket fremgår af pressemeddelelsen om rapporten. Ejerne af de routere får derfor aldrig en opdatering, der fjerner problemet.

“Pixie Dust er mere end en sårbarhed. Det er en case-historie i, hvordan usikre standardindstillinger og svage opdateringsprocesser overlever i firmware,” siger NetRises medstifter og administrerende direktør Thomas Pace.

I praksis kan sårbarheden ramme millioner af enheder på verdensplan, hvis bare en håndfuld populære modeller er berørt.

En ekstra fælde: knappen der ser slukket ud

Det er ikke nok at slå WPS fra i routerens menu, advarer NetRise. På flere af de testede enheder var WPS-funktionen skjult eller slået fra på overfladen, men stadig aktiv i selve firmwaren. Det vil sige, at en angriber kan udnytte hullet, selvom routerens administrationsside påstår, at WPS er slukket.

For almindelige brugere er anbefalingen den samme uanset mærke: log ind på routerens admin-side, find afsnittet under “Wireless” eller “Avancerede indstillinger”, og slå både WPS-PIN og WPS-knap fra. På TP-Link findes indstillingen typisk under Advanced > Wireless > WPS, på Asus under Advanced Settings > Wireless > WPS, og på D-Link under Wireless eller Advanced Wireless.

Hvis routeren ikke tillader at slå WPS fra, eller hvis den ikke har modtaget firmware-opdateringer i flere år, peger NetRise på den eneste reelle løsning: udskift enheden. Moderne telefoner og computere har ingen brug for WPS, og et almindeligt WPA2- eller WPA3-password leverer markant bedre sikkerhed end den otte-cifrede PIN-kode WPS bygger på.