चीन निर्मित NanoKVM में छिपे माइक्रोफोन की खोज

 (telefoncek.si)
7 पॉइंट द्वारा GN⁺ 2025-12-07 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • चीन की कंपनी Sipeed द्वारा विकसित NanoKVM एक अति-कम्पैक्ट हार्डवेयर KVM स्विच है, जो दूर से PC या सर्वर को नियंत्रित कर सकता है और कम कीमत तथा ओपन सोर्स ओपन करने के वादे के कारण चर्चा में रहा है
  • डिवाइस में HDMI, USB-C और इथरनेट पोर्ट मौजूद हैं, और ब्राउज़र के ज़रिए दूरस्थ नियंत्रण संभव है; इसमें BIOS एक्सेस और पावर कंट्रोल भी सपोर्ट होता है
  • लेकिन डिफ़ॉल्ट पासवर्ड, हार्डकोडेड एन्क्रिप्शन की, चीन के DNS सर्वरों पर निर्भरता, और अप्रमाणित अपडेट संचार जैसी कई सुरक्षा कमजोरियाँ पाई गईं
  • खासकर, आधिकारिक दस्तावेज़ में उल्लेख न किए गए 2×1mm के आकार का अंतर्निहित माइक्रोफोन मौजूद है और SSH में लॉगिन करने के बाद amixer·arecord कमांड से रिकॉर्डिंग की जा सकती है
  • ओपन सोर्स स्ट्रक्चर के कारण कस्टम Linux डिस्ट्रिब्यूशन इंस्टॉल करके माइक्रोफोन हटाना संभव है, लेकिन यह मामला छोटे IoT उपकरणों में संभावित ईव्सड्रॉपिंग जोखिम को उजागर करता है

NanoKVM का अवलोकन और काम करने का तरीका

  • NanoKVM Sipeed द्वारा बनाया गया RISC-V आधारित हार्डवेयर KVM स्विच है, जो दूर से कंप्यूटर नियंत्रित करने के लिए उपयोग किया जाता है
    • HDMI के ज़रिए वीडियो सिग्नल लेकर ब्राउज़र में स्क्रीन दिखाता है
    • USB के ज़रिए कीबोर्ड, माउस, CD-ROM, USB ड्राइव और नेटवर्क एडैप्टर को emulate करता है
  • सॉफ़्टवेयर इंस्टॉलेशन के बिना केवल फिज़िकल कनेक्शन से ही रिमोट कंट्रोल संभव है, और BIOS एक्सेस व पावर-मैनेजमेंट के साथ power on/off/reset करना संभव है
  • फुल मॉडल की कीमत लगभग 60 यूरो, जबकि मिनी मॉडल लगभग 30 यूरो है, जो प्रतिस्पर्धी उत्पाद PiKVM की तुलना में काफी सस्ता है
  • यह ओपन सोर्स RISC-V आर्किटेक्चर पर बनाया गया है और निर्माता ने अपने अधिकांश कोड को ओपन सोर्स में सार्वजनिक किया है

प्रारंभिक दोष और सुरक्षा मुद्दे

  • शुरुआती बैचों में HDMI सिग्नल पहचान त्रुटि के कारण रीकॉल किया गया, उसके बाद सॉफ़्टवेयर डेवलपमेंट तेजी से आगे बढ़ा
  • डिफ़ॉल्ट पासवर्ड सेट करके डिवाइस शिप किए गए थे और SSH access सक्रिय था
    • निर्माता को रिपोर्ट करने के बाद इसे ठीक किया गया, लेकिन अभी भी कई कमजोरियाँ मौजूद हैं
  • वेब UI में CSRF सुरक्षा का अभाव, सेशन को invalidate न कर पाना, और सभी डिवाइसों के लिए एक ही encryption key का उपयोग जैसे गंभीर संरचनात्मक दोष मौजूद हैं
  • डिवाइस डिफ़ॉल्ट रूप से चीन DNS सर्वर का उपयोग करता है और अपडेट तथा बंद/प्रोप्राइटरी कम्पोनेंट डाउनलोड करने के लिए Sipeed server से कम्युनिकेट करता है
    • authentication key plaintext में स्टोर की गई है, अपडेट की integrity का कोई सत्यापन नहीं है
    • WireGuard का एक variant कुछ नेटवर्क पर काम नहीं करता
    • systemd, apt हटाए गए trimmed Linux का उपयोग किया गया है

इनबिल्ट हैकिंग टूल और संदिग्ध कॉन्फ़िगरेशन

  • डिवाइस के अंदर tcpdump और aircrack मौजूद हैं
    • ये नेटवर्क पैकेट एनालिसिस और वायरलेस सुरक्षा टेस्टिंग के लिए उपयोगी हैं, लेकिन हमले के टूल के रूप में दुरुपयोग हो सकते हैं
    • विकास के दौरान डिबगिंग के लिए हो सकता है, लेकिन उत्पाद संस्करण में शामिल होना अनुचित है

छिपे माइक्रोफोन की खोज

  • दस्तावेज़ में उल्लेख न किए गए 2×1mm माइक्रो-SMD माइक्रोफोन का निर्माण में होना पाया गया
    • SSH में लॉगिन करने के बाद amixer, arecord कमांड से हाई-फिडेलिटी ऑडियो रिकॉर्डिंग संभव है
    • रिकॉर्ड की गई फाइल को किसी अन्य कंप्यूटर पर कॉपी किया जा सकता है या रीयल-टाइम स्ट्रीमिंग भी संभव है
  • माइक्रोफोन हटाना संभव है, लेकिन डिसअसेंबली कठिन है और माइक्रोस्कोप-स्तर की सटीकता की जरूरत पड़ती है
  • डिवाइस में पहले से ही रिकॉर्डिंग टूल्स प्री-इंस्टॉल हैं, जिससे सुरक्षा के लिहाज़ से यह सेटअप बहुत जोखिम भरा है

ओपन सोर्स विकल्प और निवारण की संभावना

  • ओपन सोर्स डिज़ाइन होने के कारण कस्टम Linux डिस्ट्रीब्यूशन इंस्टॉल करना संभव है
    • एक उपयोगकर्ता Debian आधारित custom OS को पोर्ट कर रहा है और आगे चलकर Ubuntu support जोड़ने की दिशा में काम हो रहा है
    • इंस्टॉलेशन प्रक्रिया SD कार्ड हटाकर नया सॉफ़्टवेयर फ्लैश करने जैसी है
  • उपयोगकर्ता माइक्रोफोन हटाकर या इसके उलट स्पीकर जोड़कर उसे ऑडियो प्लेबैक डिवाइस की तरह भी इस्तेमाल कर सकता है
    • टेस्ट में 8Ω 0.5W स्पीकर से अच्छी ऑडियो क्वालिटी मिली
    • PiKVM ने भी हाल ही में bidirectional audio फीचर जोड़ दिया है

निष्कर्ष और व्यापक सुरक्षा चिंता

  • NanoKVM में डिफ़ॉल्ट पासवर्ड, चीन सर्वरों से संचार, इन-बिल्ट हैकिंग टूल्स, छिपा माइक्रोफोन जैसी कई सुरक्षा जोखिम निहित हैं
  • ये समस्याएँ शायद लापरवाही और जल्दबाज़ी में की गई डेवलपमेंट से उत्पन्न हों, फिर भी उपयोगकर्ता के दृष्टिकोण से जोखिम गंभीर बने रहते हैं
  • लेख सवाल उठाता है: “कितने ऐसे उपकरण हमारे घरों में मौजूद हैं जिनमें छिपी हुई कार्यक्षमता हो
    • Apple Siri ने निजी बातचीत रिकॉर्ड करने की घटना और उसके परिणामस्वरूप 95 मिलियन डॉलर का सेटलमेंट वाला मामला,
    • Google voice assistant से जुड़े मुकदमे,
    • Apple द्वारा पुलिस के लिए गोपनीय निगरानी प्रशिक्षण चलाने की रिपोर्ट आदि का उल्लेख किया गया
  • निष्कर्षतः, सिर्फ चीन निर्मित उत्पाद ही नहीं, बल्कि वैश्विक IT कंपनियों के privacy व्यवहार से भी सावधान रहना चाहिए

परिशिष्ट: NanoKVM में ऑडियो रिकॉर्डिंग की विधि

  • SSH लॉगिन के बाद नीचे दिए गए कमांड रन करके माइक्रोफोन टेस्ट किया जा सकता है
    • amixer -Dhw:0 cset name='ADC Capture Volume 20' : माइक्रोफोन sensitivity सेट करें
    • arecord -Dhw:0,0 -d 3 -r 48000 -f S16_LE -t wav test.wav & > /dev/null & : 3 सेकंड की रिकॉर्डिंग
  • रिकॉर्ड की गई test.wav फाइल को कॉपी करके प्ले किया जा सकता है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.