میکروفون مخفی در KVM چینی؛ ادعای یک پژوهشگر، جنجالآفرین شد
ادعای پژوهشگر امنیتی دربارهی NanoKVM شرکت Sipeed موجی از نگرانی ایجاد کرد، زیرا این دستگاه ارزانقیمت مدیریت از راهدور با مجموعهای از ضعفهای امنیتی و حتی میکروفون مخفی عرضه شده بود. بررسیها نشان داد این میکروفون ازطریق SSH قابل فعالسازی است و بسیاری از مشکلات پس از گزارش اولیه اصلاح شدهاند.
NanoKVM بهعنوان جایگزین اقتصادی PiKVM امکاناتی مانند کپچر HDMI، شبیهسازی USB و کنترل از راهدور را بدوننیاز به نصب نرمافزار ارائه میدهد و به همین دلیل وارد محیطهای سازمانی شده است. اما پژوهشگر امنیتی هشدار داد که مشکلات امنیتی دستگاه از همان لحظهی بوت شروع میشود.
به گفتهی Telefoncek، نسخههای اولیهی NanoKVM با رمز عبور پیشفرض و SSH باز عرضه شده بودند و رابط وب نیز فاقد لایههای امنیتی ضروری بود. کلید رمزنگاری یکسان روی تمام دستگاهها و ضعف آگاهی توسعهدهندگان نسبت به این خطر، نگرانیها را تشدید کرد.
رفتار شبکهای NanoKVM نیز سؤالبرانگیز بود، زیرا درخواستهای DNS بهصورت پیشفرض از سرورهای چینی عبور میکرد و این دستگاه بدون بررسی یکپارچگی، فایلهای باینری منبع را از زیرساخت Sipeed دریافت میکرد. ازطرفی وجود ابزارهایی مانند tcpdump و aircrack روی سیستم به گمانهزنیها دامن زد.
کشف میکروفون کوچک ناشناس روی برد NanoKVM و امکان ضبط و ارسال صدا با حداقل تلاش، نگرانیها را به اوج رساند. هرچند جامعهی متنباز موفق به پورت توزیعهای امنتر لینوکسی شد و بخشی از مشکلات رفع شدهاند، توصیهی کارشناسان این است که کاربران برای کاهش ریسک، دستگاه را با سیستمعاملهای سفارشی فلش کنند و فعلاً استفاده از آن را به محیطهای خانگی محدود نگه دارند.