نشر باحث أمني سلوفيني تحليلاً لـ Sipeed’s NanoKVM والذي يثير مخاوف بعيدة المدى بشأن جهاز الإدارة عن بعد الذي يتراوح سعره ما بين 30 إلى 60 يورو (35-70 دولارًا).
توفر لوحة RISC-V المدمجة، والتي وصلت إلى السوق العام الماضي كبديل للميزانية لـ PiKVM، إمكانية التقاط HDMI ومحاكاة USB HID والتحكم في الطاقة عن بعد والوصول إلى جهاز كمبيوتر متصل عبر المتصفح. لقد بدأ يظهر في بيئات تكنولوجيا المعلومات على وجه التحديد لأنه لا يتطلب أي برنامج على الجهاز المستهدف ويمكنه العمل من تثبيت BIOS إلى نظام التشغيل. ومن المثير للقلق أن عملية التفكيك التي أجراها الباحث تظهر أنه تم شحنه أيضًا مع كتالوج من حالات الفشل الأمني وميكروفون غير موثق يمكن تفعيله عبر SSH.
يثير سلوك شبكة NanoKVM مزيدًا من الأسئلة، حيث إنها تقوم بتوجيه استعلامات DNS عبر الخوادم الصينية افتراضيًا وإجراء اتصالات روتينية بالبنية التحتية لـ Sipeed لجلب التحديثات ومكون ثنائي مغلق المصدر. يتم تخزين مفتاح التحقق من هذا المكون بنص عادي على الجهاز، ولا يوجد فحص لسلامة البرامج الثابتة التي تم تنزيلها.
يعد إصدار Linux الأساسي أيضًا صورة مختصرة للغاية بدون أدوات إدارة مشتركة، ومع ذلك فهو يتضمن tcpdump وaircrack، وأدوات مساعدة مرتبطة عادةً بفحص الحزم والاختبار اللاسلكي بدلاً من أجهزة الإنتاج المخصصة للجلوس على شبكات مميزة.
كل هذا، مقترنًا باكتشاف ميكروفون صغير مثبت على السطح، يجب أن يجعل أي مستخدم متشككًا في النوايا الحقيقية للجهاز. لم يتم توثيق الميكروفون في مواد المنتج، إلا أن نظام التشغيل يشتمل على أدوات ALSA مثل amixer وarecord التي يمكنها تنشيطه على الفور. مع استمرار وجود بيانات اعتماد SSH الافتراضية في العديد من الوحدات المنتشرة، أظهر الباحث أنه يمكن تسجيل الصوت وتصفيته بأقل جهد، ولن يتطلب بث هذا الصوت في الوقت الفعلي سوى برمجة نصية إضافية متواضعة.
لحسن الحظ، نظرًا لأن NanoKVM مفتوح المصدر اسميًا، فقد بدأ أعضاء المجتمع في نقل توزيعات Linux البديلة، أولاً على Debian ثم Ubuntu لاحقًا. يتطلب إعادة تحميل الملفات فتح العلبة وكتابة صورة جديدة على بطاقة microSD الداخلية، لكن الإصدارات المبكرة تدعم بالفعل كود KVM المعدل من Sipeed. من الممكن إزالة الميكروفون فعليًا، على الرغم من أن حجم المكون وموضعه يجعلانه مهمة صعبة بدون تكبير.
يتبع أجهزة توم على أخبار جوجل، أو أضفنا كمصدر مفضل، للحصول على آخر الأخبار والتحليلات والمراجعات في خلاصاتك.
التعليقات