Cada vez queda más claro que los productos de China en cuanto a lo electrónico son un caballo de Troya que buscan espiar u obtener datos de los usuarios y gobiernos. Y es que, un análisis independiente sobre NanoKVM, un KVM remoto chino, barato, ha destapado un conjunto grave de fallos de seguridad que incluyen credenciales por defecto, una interfaz web vulnerable, servicios expuestos y, lo más delicado y delirante del asunto, la presencia de un micrófono funcional oculto e integrado que no aparece documentado oficialmente.
El hallazgo cuestiona (como no puede ser de otra forma) la transparencia del hardware barato que muchos utilizamos sin imaginar sus implicaciones. El problema es que esto ha sido incluido en un dispositivo tan pequeño y económico, donde nadie se dio cuenta y que capaz de grabar audio sin que el usuario lo sepa. ¿Qué seguridad tenemos incluso en nuestra propia casa si nadie verifica que estas cosas no pasen? Quizás el vender al menor precio por encima de todo evidencia que estamos siendo muy ingenuos en occidente para con China.
NanoKVM se ha convertido en un producto muy popular dentro del ecosistema homelab por su precio, su tamaño y su capacidad para ofrecer control remoto completo de cualquier equipo, y encima, a un precio ridículo comparado con la competencia. Para situar sus virtudes diremos que permite enviar señal de vídeo, gestionar teclado y ratón y encajar en infraestructuras domésticas de forma casi invisible.
Sin embargo, el análisis del que partimos por parte de Telefoncek muestra que la simplicidad aparente escondía una arquitectura de software frágil, siendo esto hecho a propósito.
Se encontraron contraseñas por defecto activas, un servidor SSH abierto, una interfaz web sin protecciones básicas como CSRF y una clave de cifrado estática que se reutilizaba en todos los dispositivos.
A ello se sumaba la existencia de rutas de actualización conectadas con servidores de China, con paquetes cuya integridad no se verificaba antes de su instalación y que solo allanaban el camino al verdadero caballo de Troya con este KVM chino con micrófono integrado.
El problema se vuelve crítico cuando el investigador descubre un micrófono de apenas unos milímetros soldado en la placa. No aparece en la documentación de Sipeed, no está listado como característica del producto y, lo más inquietante, está operativo.
Con herramientas estándar del sistema, como amixer o arecord, el dispositivo puede capturar audio local. Dado que el acceso SSH era trivial debido a las credenciales por defecto y por la falta de seguridad, hecha a posta, cualquier actor con acceso remoto habría podido activar la grabación sin conocimiento del propietario. Esto convierte un simple KVM en un posible dispositivo de escucha situado en las casas donde nadie esperaría una captura de sonido en su propio hogar.
El informe también identifica herramientas de análisis de red como tcpdump y utilidades de ataque WiFi como aircrack preinstaladas, lo que alimenta dudas razonables sobre la cadena de montaje y los criterios de diseño.
Por lo tanto, la industria necesita replantearse la confianza automática que depositamos en hardware de bajo coste y que viene de China, porque si la integridad básica no está garantizada, cualquier ventaja funcional pierde sentido. Quizá la lección no sea evitar estos dispositivos sino exigir auditorías abiertas y una fabricación más responsable.
Y quizá esta sea también una oportunidad para que el sector del hardware doméstico madure en transparencia y revise de arriba abajo lo que consideramos aceptable. O quizás, es hora de cerrar la puerta a este tipo de productos de bajo coste que no solo hacen competencia a los nuestros, si no que nos espían, y no es la primera vez que esto pasa, porque en cuanto al software…
elchapuzasinformatico.com
El hallazgo cuestiona (como no puede ser de otra forma) la transparencia del hardware barato que muchos utilizamos sin imaginar sus implicaciones. El problema es que esto ha sido incluido en un dispositivo tan pequeño y económico, donde nadie se dio cuenta y que capaz de grabar audio sin que el usuario lo sepa. ¿Qué seguridad tenemos incluso en nuestra propia casa si nadie verifica que estas cosas no pasen? Quizás el vender al menor precio por encima de todo evidencia que estamos siendo muy ingenuos en occidente para con China.
Desvelan que un KVM chino incorporó un micrófono oculto que no pertenecía al diseño original para espiar en su propia casa a sus usuarios
NanoKVM se ha convertido en un producto muy popular dentro del ecosistema homelab por su precio, su tamaño y su capacidad para ofrecer control remoto completo de cualquier equipo, y encima, a un precio ridículo comparado con la competencia. Para situar sus virtudes diremos que permite enviar señal de vídeo, gestionar teclado y ratón y encajar en infraestructuras domésticas de forma casi invisible.
Sin embargo, el análisis del que partimos por parte de Telefoncek muestra que la simplicidad aparente escondía una arquitectura de software frágil, siendo esto hecho a propósito.
Se encontraron contraseñas por defecto activas, un servidor SSH abierto, una interfaz web sin protecciones básicas como CSRF y una clave de cifrado estática que se reutilizaba en todos los dispositivos.
A ello se sumaba la existencia de rutas de actualización conectadas con servidores de China, con paquetes cuya integridad no se verificaba antes de su instalación y que solo allanaban el camino al verdadero caballo de Troya con este KVM chino con micrófono integrado.
MIlimétrico, casi imperceptible, suficiente para escuchar todo lo que se dice en casa y enviarlo al gobierno chino
El problema se vuelve crítico cuando el investigador descubre un micrófono de apenas unos milímetros soldado en la placa. No aparece en la documentación de Sipeed, no está listado como característica del producto y, lo más inquietante, está operativo.
Con herramientas estándar del sistema, como amixer o arecord, el dispositivo puede capturar audio local. Dado que el acceso SSH era trivial debido a las credenciales por defecto y por la falta de seguridad, hecha a posta, cualquier actor con acceso remoto habría podido activar la grabación sin conocimiento del propietario. Esto convierte un simple KVM en un posible dispositivo de escucha situado en las casas donde nadie esperaría una captura de sonido en su propio hogar.
El informe también identifica herramientas de análisis de red como tcpdump y utilidades de ataque WiFi como aircrack preinstaladas, lo que alimenta dudas razonables sobre la cadena de montaje y los criterios de diseño.
Por lo tanto, la industria necesita replantearse la confianza automática que depositamos en hardware de bajo coste y que viene de China, porque si la integridad básica no está garantizada, cualquier ventaja funcional pierde sentido. Quizá la lección no sea evitar estos dispositivos sino exigir auditorías abiertas y una fabricación más responsable.
Y quizá esta sea también una oportunidad para que el sector del hardware doméstico madure en transparencia y revise de arriba abajo lo que consideramos aceptable. O quizás, es hora de cerrar la puerta a este tipo de productos de bajo coste que no solo hacen competencia a los nuestros, si no que nos espían, y no es la primera vez que esto pasa, porque en cuanto al software…
Escándalo de seguridad: descubren un micrófono oculto en un KVM chino barato y vendido por miles que podía espiar las conversaciones de sus usuarios
Escándalo de seguridad con un KVM chino que traía un micrófono oculto que podía ser activado gracias a la pésima seguridad del aparato.
elchapuzasinformatico.com
