中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も
Researcher finds Chinese KVM has undocumented microphone, communicates with China-based servers — Sipeed's nanoKVM switch has other severe security flaws and allows audio recording, claims researcher | Tom's Hardware https://www.tomshardware.com/tech-industry/cyber-security/researcher-finds-undocumented-microphone-and-major-security-flaws-in-sipeed-nanokvm
NanoKVMは、中国企業Sipeedが開発したKVMスイッチです。他社製品と比較して安価で、仮想キーボード、マウス、モニターを使ってコンピューターやサーバーをリモート操作できるこの端末はオンラインで急速に注目を集めましたが、スロベニアのセキュリティ研究者が調査した結果、深刻な問題がいくつか存在することが明らかになっています。
例えばユーザーインターフェースの欠陥です。NanoKVMのユーザーインターフェースにはCSRF対策がなく、セッションを無効化する手段もないなど、問題は多かったとのこと。さらに深刻なのは、ブラウザ経由のログイン時におけるパスワード保護に使用される暗号化キーがハードコードされており、全デバイスで同一である点でした。これは重大なセキュリティ上の見落としであり、攻撃者がパスワードを容易に復号できるようになります。
もう一つの懸念は、デバイスが中国のDNSサーバーに依存しており、中国のSipeedサーバーと通信し、更新プログラムだけでなくクローズドソースコンポーネントもダウンロードしているという点でした。当該コンポーネントを検証する鍵はデバイス上に平文で保存されていました。このほか、ソフトウェアアップデートの完全性検証が行われていない点、一部のネットワークで動作しない特殊なバージョンのWireGuard VPNアプリケーションが組み込まれている点、systemdやaptを欠いた大幅に機能制限されたLinuxが動作している点なども懸念されました。
この記事のタイトルとURLをコピーする2025年12月09日 10時34分00秒 in ハードウェア, セキュリティ, Posted by log1p_kr
You can read the machine translated English article It turns out that a Chinese-made KVM is ….
最新ニュース40件 人気記事ランキング- コンセントに挿すだけの「プラグイン式ソーラーパネル」普及に電力会社が懸念を表明
- Netflixが再び値上げ、2025年1月ぶり
- Windows 11のUIが本当にヒドイ、存在するべきスライダーが消え去り「0」と「3」しか選択できず項目名も意味不明
- 2026年春開始の新作アニメ一覧
- 無料でネットワーク構成図を自動的に更新するツール「Scanopy」、一度設定すればメンテナンスは不要でネットワークをスキャンしてホストやサービスを検出し接続関係をインタラクティブに可視化、オープンソースでセルフホスト可能
- AIが不適切と判定した約200冊の本が学校の図書室から撤去される、「一九八四年」「チェンソーマン」「鬼滅の刃」「呪術廻戦」「ワンパンマン」など
- ついに任天堂が2026年5月からNintendo Switch 2専用の新作ファーストパーティゲームのパッケージ版とダウンロード版で価格を変えるとアメリカで発表
- 任天堂はNintendo Switch 2の生産台数を33%削減し600万台から400万台に引き下げるとの報道、アメリカ市場での需要低迷が主な理由
- このまま太陽光発電のコストが安くなるとソーラーパネルを送電網に接続できなくなると専門家が指摘
- 中国の自動車メーカーが11分で満充電できて450km走行可能なEV用ナトリウムイオンバッテリーの量産技術を確立