चीन निर्मित NanoKVM में छिपे माइक्रोफोन की खोज

(telefoncek.si)

7 पॉइंट द्वारा GN⁺ 2025-12-07 | 2 टिप्पणियां | WhatsApp पर शेयर करें

चीन की कंपनी Sipeed द्वारा विकसित NanoKVM एक अति-कम्पैक्ट हार्डवेयर KVM स्विच है, जो दूर से PC या सर्वर को नियंत्रित कर सकता है और कम कीमत तथा ओपन सोर्स ओपन करने के वादे के कारण चर्चा में रहा है
डिवाइस में HDMI, USB-C और इथरनेट पोर्ट मौजूद हैं, और ब्राउज़र के ज़रिए दूरस्थ नियंत्रण संभव है; इसमें BIOS एक्सेस और पावर कंट्रोल भी सपोर्ट होता है
लेकिन डिफ़ॉल्ट पासवर्ड, हार्डकोडेड एन्क्रिप्शन की, चीन के DNS सर्वरों पर निर्भरता, और अप्रमाणित अपडेट संचार जैसी कई सुरक्षा कमजोरियाँ पाई गईं
खासकर, आधिकारिक दस्तावेज़ में उल्लेख न किए गए 2×1mm के आकार का अंतर्निहित माइक्रोफोन मौजूद है और SSH में लॉगिन करने के बाद amixer·arecord कमांड से रिकॉर्डिंग की जा सकती है
ओपन सोर्स स्ट्रक्चर के कारण कस्टम Linux डिस्ट्रिब्यूशन इंस्टॉल करके माइक्रोफोन हटाना संभव है, लेकिन यह मामला छोटे IoT उपकरणों में संभावित ईव्सड्रॉपिंग जोखिम को उजागर करता है

NanoKVM का अवलोकन और काम करने का तरीका

NanoKVM Sipeed द्वारा बनाया गया RISC-V आधारित हार्डवेयर KVM स्विच है, जो दूर से कंप्यूटर नियंत्रित करने के लिए उपयोग किया जाता है
- HDMI के ज़रिए वीडियो सिग्नल लेकर ब्राउज़र में स्क्रीन दिखाता है
- USB के ज़रिए कीबोर्ड, माउस, CD-ROM, USB ड्राइव और नेटवर्क एडैप्टर को emulate करता है
सॉफ़्टवेयर इंस्टॉलेशन के बिना केवल फिज़िकल कनेक्शन से ही रिमोट कंट्रोल संभव है, और BIOS एक्सेस व पावर-मैनेजमेंट के साथ power on/off/reset करना संभव है
फुल मॉडल की कीमत लगभग 60 यूरो, जबकि मिनी मॉडल लगभग 30 यूरो है, जो प्रतिस्पर्धी उत्पाद PiKVM की तुलना में काफी सस्ता है
यह ओपन सोर्स RISC-V आर्किटेक्चर पर बनाया गया है और निर्माता ने अपने अधिकांश कोड को ओपन सोर्स में सार्वजनिक किया है

प्रारंभिक दोष और सुरक्षा मुद्दे

शुरुआती बैचों में HDMI सिग्नल पहचान त्रुटि के कारण रीकॉल किया गया, उसके बाद सॉफ़्टवेयर डेवलपमेंट तेजी से आगे बढ़ा
डिफ़ॉल्ट पासवर्ड सेट करके डिवाइस शिप किए गए थे और SSH access सक्रिय था
- निर्माता को रिपोर्ट करने के बाद इसे ठीक किया गया, लेकिन अभी भी कई कमजोरियाँ मौजूद हैं
वेब UI में CSRF सुरक्षा का अभाव, सेशन को invalidate न कर पाना, और सभी डिवाइसों के लिए एक ही encryption key का उपयोग जैसे गंभीर संरचनात्मक दोष मौजूद हैं
डिवाइस डिफ़ॉल्ट रूप से चीन DNS सर्वर का उपयोग करता है और अपडेट तथा बंद/प्रोप्राइटरी कम्पोनेंट डाउनलोड करने के लिए Sipeed server से कम्युनिकेट करता है
- authentication key plaintext में स्टोर की गई है, अपडेट की integrity का कोई सत्यापन नहीं है
- WireGuard का एक variant कुछ नेटवर्क पर काम नहीं करता
- systemd, apt हटाए गए trimmed Linux का उपयोग किया गया है

इनबिल्ट हैकिंग टूल और संदिग्ध कॉन्फ़िगरेशन

डिवाइस के अंदर tcpdump और aircrack मौजूद हैं
- ये नेटवर्क पैकेट एनालिसिस और वायरलेस सुरक्षा टेस्टिंग के लिए उपयोगी हैं, लेकिन हमले के टूल के रूप में दुरुपयोग हो सकते हैं
- विकास के दौरान डिबगिंग के लिए हो सकता है, लेकिन उत्पाद संस्करण में शामिल होना अनुचित है

छिपे माइक्रोफोन की खोज

दस्तावेज़ में उल्लेख न किए गए 2×1mm माइक्रो-SMD माइक्रोफोन का निर्माण में होना पाया गया
- SSH में लॉगिन करने के बाद amixer, arecord कमांड से हाई-फिडेलिटी ऑडियो रिकॉर्डिंग संभव है
- रिकॉर्ड की गई फाइल को किसी अन्य कंप्यूटर पर कॉपी किया जा सकता है या रीयल-टाइम स्ट्रीमिंग भी संभव है
माइक्रोफोन हटाना संभव है, लेकिन डिसअसेंबली कठिन है और माइक्रोस्कोप-स्तर की सटीकता की जरूरत पड़ती है
डिवाइस में पहले से ही रिकॉर्डिंग टूल्स प्री-इंस्टॉल हैं, जिससे सुरक्षा के लिहाज़ से यह सेटअप बहुत जोखिम भरा है

ओपन सोर्स विकल्प और निवारण की संभावना

ओपन सोर्स डिज़ाइन होने के कारण कस्टम Linux डिस्ट्रीब्यूशन इंस्टॉल करना संभव है
- एक उपयोगकर्ता Debian आधारित custom OS को पोर्ट कर रहा है और आगे चलकर Ubuntu support जोड़ने की दिशा में काम हो रहा है
- इंस्टॉलेशन प्रक्रिया SD कार्ड हटाकर नया सॉफ़्टवेयर फ्लैश करने जैसी है
उपयोगकर्ता माइक्रोफोन हटाकर या इसके उलट स्पीकर जोड़कर उसे ऑडियो प्लेबैक डिवाइस की तरह भी इस्तेमाल कर सकता है
- टेस्ट में 8Ω 0.5W स्पीकर से अच्छी ऑडियो क्वालिटी मिली
- PiKVM ने भी हाल ही में bidirectional audio फीचर जोड़ दिया है

निष्कर्ष और व्यापक सुरक्षा चिंता

NanoKVM में डिफ़ॉल्ट पासवर्ड, चीन सर्वरों से संचार, इन-बिल्ट हैकिंग टूल्स, छिपा माइक्रोफोन जैसी कई सुरक्षा जोखिम निहित हैं
ये समस्याएँ शायद लापरवाही और जल्दबाज़ी में की गई डेवलपमेंट से उत्पन्न हों, फिर भी उपयोगकर्ता के दृष्टिकोण से जोखिम गंभीर बने रहते हैं
लेख सवाल उठाता है: “कितने ऐसे उपकरण हमारे घरों में मौजूद हैं जिनमें छिपी हुई कार्यक्षमता हो”
- Apple Siri ने निजी बातचीत रिकॉर्ड करने की घटना और उसके परिणामस्वरूप 95 मिलियन डॉलर का सेटलमेंट वाला मामला,
- Google voice assistant से जुड़े मुकदमे,
- Apple द्वारा पुलिस के लिए गोपनीय निगरानी प्रशिक्षण चलाने की रिपोर्ट आदि का उल्लेख किया गया
निष्कर्षतः, सिर्फ चीन निर्मित उत्पाद ही नहीं, बल्कि वैश्विक IT कंपनियों के privacy व्यवहार से भी सावधान रहना चाहिए

परिशिष्ट: NanoKVM में ऑडियो रिकॉर्डिंग की विधि

SSH लॉगिन के बाद नीचे दिए गए कमांड रन करके माइक्रोफोन टेस्ट किया जा सकता है
- amixer -Dhw:0 cset name='ADC Capture Volume 20' : माइक्रोफोन sensitivity सेट करें
- arecord -Dhw:0,0 -d 3 -r 48000 -f S16_LE -t wav test.wav & > /dev/null & : 3 सेकंड की रिकॉर्डिंग
रिकॉर्ड की गई test.wav फाइल को कॉपी करके प्ले किया जा सकता है

2 टिप्पणियां

GN⁺ 2025-12-07

Hacker News प्रतिक्रिया

LicheeRV Nano की spec sheet में माइक्रोफ़ोन स्पष्ट रूप से दर्ज है
शायद KVM प्रोडक्ट में माइक्रोफ़ोन जोड़ने का इरादा नहीं था, बल्कि मौजूदा SBC बोर्ड के पुन: उपयोग से लागत कम करने की कोशिश की गई थी
बेशक, इसे स्पष्ट रूप से न बताना समस्या है, और firmware security issues भी हैं, इसलिए छवि अच्छी नहीं बनती
लेकिन “चीनी KVM में छिपा हुआ माइक्रोफ़ोन” जैसी अभिव्यक्ति कुछ ज़्यादा ही सनसनीखेज़ लगती है
- मुझे लगता है यह दुर्भावना से ज़्यादा चीनी निर्माण पद्धति का नतीजा है
  security documentation लगभग नहीं होने से ऐसा लगता है मानो इसकी सुरक्षा कागज़ के टुकड़े जितनी कमज़ोर हो
- “मौजूदा स्टॉक का पुन: उपयोग” बहाना नहीं हो सकता
  यह डिवाइस अभी बेचा जा रहा है और इसमें काम करने वाला माइक्रोफ़ोन है, यह बात बताई नहीं जा रही
- “चीनी बना हुआ” होने के कारण लगता है कि चीन सरकार माइक्रोफ़ोन तक पहुँच सकती है,
  लेकिन अगर इतनी पहुँच संभव है, तो KVM के पूरे I/O को पढ़ना भी संभव होगा
- सर्वर रूम में लगे KVM में माइक्रोफ़ोन शायद ही कभी उपयोगी हो
  बल्कि keylogger जैसी चीज़ें ज़्यादा खतरनाक हैं, इसलिए open source software सपोर्ट करने वाला डिवाइस लेना बेहतर है
कुछ शिकायतें ऐसी लगती हैं जैसे उन्हें किसी ऐसे व्यक्ति ने लिखा हो जिसे embedded Linux का अनुभव नहीं है
असली समस्या hardcoded JWT secret key, root privileges पर execution वगैरह है,
जबकि Chinese DNS या systemd का न होना बिल्कुल असामान्य नहीं है
tcpdump या aircrack का इंस्टॉल होना भी security के लिहाज़ से कोई बड़ा फ़र्क नहीं बनाता
ज़्यादातर user web interface को बाहर expose नहीं करेंगे, और Tailscale का डिफ़ॉल्ट रूप से शामिल होना तो उल्टा प्रभावशाली है
“अजीब WireGuard version” वाली बात सिर्फ़ ग़लतफ़हमी भी हो सकती है
- मुझे लगता है इस thread का ज़्यादातर हिस्सा अज्ञानता और पूर्वाग्रह से भरा है
  यह कंपनी मूल रूप से development boards और SoC बनाती है, और GitHub पर code भी सार्वजनिक है
  इसके अलावा SiSpeed, RISC-V mainline Linux में भी योगदान दे रही है
  embedded security हर देश में आम तौर पर कमज़ोर ही होती है
- Hanlon’s Razor लागू करें तो यह दुर्भावना से ज़्यादा अयोग्यता का परिणाम लगता है
  इसे crowdfunding project की सीमाओं के रूप में समझा जा सकता है,
  लेकिन लेखक ने इसे दुर्भावनापूर्ण hacking attempt की तरह पढ़ लिया लगता है
  वास्तव में कई botnet बिना patch किए गए पुराने routers से बने हैं
- समस्याओं की सूची देखने पर यह बस Linux की समझ की कमी और पूर्वाग्रह का मिला-जुला दावा लगता है
Apple की Siri द्वारा निजी बातचीत रिकॉर्ड करने वाले मुक़दमे में 95 million dollar settlement का ज़िक्र करते हुए,
कहा गया कि “privacy को अहमियत देने वाली Apple भी ऐसी है,” इसलिए यह clickbait पंक्ति समझ में आती है
- लेकिन वह उद्धरण ग़लतफ़हमी पैदा कर सकता है
  plaintiffs ने भी माना था कि रिकॉर्डिंग अनजाने activation के कारण हुई थी,
  और Apple ने इसका targeted advertising में इस्तेमाल किया, इसका कोई सबूत नहीं है
  सिर्फ़ Siri सुधारने के लिए कुछ data बाहरी contractors को दिया गया था
मेरे KVM में भी ऐसा ही security issue था
वह कई PC साझा करने वाला सामान्य KVM था, और एक दिन मैंने देखा कि वह अपने ही IP से GB स्तर का ट्रैफ़िक भेज रहा है
मैंने तुरंत network block कर दिया, लेकिन screen capture और input devices तक पहुँच संभव थी,
इसलिए data leak हुआ होगा क्या, इस चिंता में मैंने उसे electronic waste के रूप में फेंक दिया
तब समझ आया कि network-connected KVM कितना ख़तरनाक हो सकता है
- उसे फेंकना अफ़सोस की बात है। अगर Wireshark से traffic capture करके model information साझा की जाती,
  तो दूसरों के लिए चेतावनी बन सकती थी
- शायद सिर्फ़ “Broadcast to multicast” setting बंद करनी थी या destination address बदलना था
  कुछ network KVM remote control app के लिए ऐसी सुविधा इस्तेमाल करते हैं
- क्या आप model name बता सकते हैं? यह public safety से जुड़ा मुद्दा हो सकता है
“systemd और apt के बिना Linux” को समस्या बताने वाली बात समझ नहीं आती
- शायद यह Alpine Linux हो
  इसमें GNOME भी नहीं होगा, तो ऐसी चीज़ को समस्या कहना हास्यास्पद है
- software न हो तो security issue, हो तो भी security issue — यह विरोधाभासी है
- ऐसे छोटे embedded devices में यह बिल्कुल सामान्य configuration है
  सिर्फ़ busybox होना भी गनीमत है
- tcpdump और aircrack की मौजूदगी को मुद्दा बनाना AI से बनी बढ़ा-चढ़ाकर लिखी गई खबर जैसा लगता है
माइक्रोफ़ोन बोर्ड पर आसानी से दिख जाने वाला component है, इसलिए उसे छिपाना मुश्किल है
बल्कि सस्ते film capacitor का इस्तेमाल करके high-end ADC से जोड़ा जाए तो यह ज़्यादा छिपा हुआ हो सकता है
analog audio design में ऐसी noise characteristics महत्वपूर्ण होती हैं,
और अलग-अलग frequency के लिए अलग capacitor और digital processing को मिलाकर
सस्ते माइक्रोफ़ोन जैसी audio quality की पुनर्रचना भी संभव है
- लेकिन अगर product में आधिकारिक रूप से इस्तेमाल न होने वाला component बोर्ड पर मौजूद है, तो यह समस्या है
  गलती से हुआ हो तब भी यह लापरवाही है, और घर में इस्तेमाल हो तो गंभीर जोखिम बन सकता है
“Debian based नहीं है इसलिए समस्या है” वाली दलील का कोई मतलब नहीं
apt का न होना अपने-आप में security issue नहीं है
अगर कोई KVM चीनी DNS को force करता है, तो वही अपने-आप में warning sign है
internet-based KVM पर भरोसा करना मुश्किल लगता है
- लेकिन फिर यह सवाल भी उठता है कि क्या NSA द्वारा नियंत्रित DNS पर ज़्यादा भरोसा किया जाना चाहिए
- iLO, iDRAC, vPro जैसी enterprise remote management technologies भी ऐसे ही जोखिम रखती हैं
यह कोई नई ख़बर नहीं है
मूल board में ही microphone शामिल था, और NanoKVM उसी बोर्ड के आधार पर बनाया गया था

chcv0313 2025-12-09

ध्यान खींचने के लिए कुछ उत्तेजक वाक्य भले हों, फिर भी यह ऐसी बात है जिस पर पर्याप्त सावधानी बरतनी चाहिए, और इसका खंडन करने वाली टिप्पणियों की सामग्री भी अच्छी है।