Κρυφό μικρόφωνο και σοβαρές τρύπες ασφαλείας στο NanoKVM της Sipeed, προειδοποιεί ερευνητής

Το NanoKVM της κινεζικής Sipeed είναι ένα μικρό IP-KVM βασισμένο σε επεξεργαστή RISC-V, που υπόσχεται απομακρυσμένο έλεγχο υπολογιστών σε επίπεδο BIOS, με HDMI capture, εξομοίωση πληκτρολογίου και ποντικιού και δυνατότητα remote power control. Η πλήρης έκδοση κοστίζει περίπου 60 ευρώ, σαφώς φθηνότερα από λύσεις τύπου PiKVM, και γι’ αυτό έχει τραβήξει πολύ ενδιαφέρον σε homelab και μικρά IT περιβάλλοντα.

Η εικόνα αλλάζει όταν κοιτάξει κανείς την ασφάλεια. Ο ερευνητής Matej Kovačič δημοσίευσε στις 10 Φεβρουαρίου 2025 λεπτομερή ανάλυση, στην οποία διαπιστώνει ότι οι πρώτες εκδόσεις του NanoKVM έρχονταν με default password και ενεργό SSH, κάτι που πρακτικά άφηνε τη συσκευή ανοιχτή σε όποιον γνώριζε τον προκαθορισμένο κωδικό. Το web interface δεν είχε προστασία από επιθέσεις CSRF ούτε τρόπο να ακυρωθούν ενεργά sessions, ενώ το κλειδί κρυπτογράφησης για τους κωδικούς πρόσβασης στο browser ήταν hard coded και ίδιο σε όλες τις συσκευές, επιτρέποντας σχετικά εύκολη αποκρυπτογράφηση.

Ο ίδιος εντοπίζει και μια σειρά από πιο «βαθιά» προβλήματα: η συσκευή στέλνει DNS queries σε κινεζικούς DNS servers και επικοινωνεί τακτικά με υποδομές της Sipeed στην Κίνα για ενημερώσεις και για τη λήψη ενός κλειστού binary, του οποίου το κλειδί επαλήθευσης είναι αποθηκευμένο σε απλό κείμενο, ενώ δεν υπάρχει καμία ουσιαστική επαλήθευση ακεραιότητας των updates. Το Linux image της συσκευής είναι έντονα περικομμένο, αλλά περιλαμβάνει εργαλεία όπως tcpdump και aircrack που χρησιμοποιούνται συνήθως για ανάλυση πακέτων και δοκιμές ασφάλειας ασύρματων δικτύων, κάτι που, σε παραγωγική συσκευή πάνω σε προνομιούχο δίκτυο, είναι το λιγότερο κακή πρακτική.

Το πιο ανησυχητικό σημείο της έρευνας είναι η ανακάλυψη ενός μικροσκοπικού μικροφώνου στην πλακέτα. Ο ερευνητής περιγράφει ένα στοιχείο μεγέθους περίπου 2 x 1 χιλιοστό, το οποίο δεν αναφέρεται καθαρά στην τεκμηρίωση του προϊόντος, ενώ το λειτουργικό σύστημα του NanoKVM περιλαμβάνει ήδη τα απαραίτητα εργαλεία ALSA, όπως amixer και arecord. Με δύο εντολές μέσω SSH, κατάφερε να ξεκινήσει καταγραφή και να αντιγράψει το αρχείο ήχου από τη συσκευή, επισημαίνοντας ότι με λίγο scripting θα μπορούσε να στηθεί και live stream ήχου μέσω δικτύου.

Εδώ υπάρχει μια σημαντική λεπτομέρεια που δεν φαίνεται εύκολα στον θόρυβο γύρω από το θέμα. Το NanoKVM βασίζεται στην πλακέτα LicheeRV Nano, της οποίας τα επίσημα specs αναφέρουν αναλογικό μικρόφωνο ως δυνατότητα εισόδου ήχου. Αυτό σημαίνει ότι το στοιχείο δεν είναι κρυφό, αλλά μέρος μιας γενικής πλατφόρμας που η Sipeed αξιοποίησε για KVM. Παρ’ όλα αυτά, για τον τελικό χρήστη του NanoKVM, το μικρόφωνο είναι στην πράξη μη δηλωμένο, αφού δεν προβάλλεται ξεκάθαρα στα υλικά του προϊόντος, ενώ σε συνδυασμό με τις υπόλοιπες αδυναμίες κάνει τη συσκευή, δυνητική πηγή ηχητικής παρακολούθησης.

Η Sipeed απάντησε αναλυτικά στις επικρίσεις με δημόσιο κείμενο στο GitHub, όπου ο ιδρυτής της περιγράφει τις αποφάσεις σχεδίασης ως συμβιβασμό ανάμεσα στην ασφάλεια και την ευχρηστία. Παραδέχεται ότι το να βρίσκεται το κλειδί κρυπτογράφησης σκληροκωδικομένο στο frontend ήταν λανθασμένη πρακτική, ότι το SSH ενεργό από προεπιλογή ταιριάζει περισσότερο σε λειτουργία για developers και δεσμεύεται ότι επόμενες εκδόσεις θα μεταφέρουν τα κλειδιά σε configuration files και θα προσθέσουν έλεγχο ακεραιότητας στα app updates. Παράλληλα υπερασπίζεται την επιλογή για χρήση κεντρικών DNS και εφεδρικών μηχανισμών ως λύση σε προβλήματα συνδεσιμότητας χρηστών από διάφορες περιοχές.

Στα ρεπορτάζ που επανέφεραν το θέμα τον Δεκέμβριο 2025 σημειώνεται ότι αρκετά από τα πιο κραυγαλέα προβλήματα, όπως οι default κωδικοί και το ανοιχτό SSH, έχουν εν τω μεταξύ διορθωθεί. Παρ’ όλα αυτά, η γενική εικόνα παραμένει πως μία συσκευή που κάθεται δίπλα σε servers, με πρόσβαση σε BIOS και power controls, σχεδιάστηκε με λογική «IoT παιχνιδάκι» και όχι με κριτήρια enterprise ασφάλειας.

Από τη θετική πλευρά, τόσο ο ερευνητής όσο και η κοινότητα τονίζουν ότι, επειδή η πλατφόρμα είναι σε μεγάλο βαθμό ανοιχτού κώδικα, έχουν ήδη γίνει ports σε Debian και Ubuntu που τρέχουν τον κώδικα KVM της Sipeed πάνω σε πιο τυπικές και ελεγχόμενες διανομές Linux. Η διαδικασία απαιτεί άνοιγμα της συσκευής και επανεγγραφή της microSD με νέο image, όμως δίνει τη δυνατότητα να αφαιρεθούν περιττά εργαλεία, να ασφαλιστεί το σύστημα και, αν κάποιος θέλει, να αποκολληθεί και το μικρόφωνο.

Για τον μέσο αναγνώστη που έχει NanoKVM σε homelab ή μικρό γραφείο, η πρακτική είναι ξεκάθαρη: η συσκευή πρέπει να αντιμετωπίζεται σαν μη έμπιστος host στο δίκτυο. Αυτό σημαίνει ισχυρό, μοναδικό κωδικό, όσο γίνεται περιορισμό ή απενεργοποίηση του SSH, τοποθέτηση σε ξεχωριστό VLAN ή πίσω από αυστηρούς κανόνες firewall, καμία απευθείας έκθεση στο internet και χρήση VPN μόνο με την ελάχιστη αναγκαία επιφάνεια πρόσβασης. Για χρήσεις όπου υπάρχει αυξημένη ευαισθησία ή κανονιστικό πλαίσιο, όπως υποδομές υγείας ή εταιρικά δίκτυα, η ασφαλέστερη επιλογή είναι πιο ώριμες λύσεις IP-KVM ή τα ενσωματωμένα BMC συστημάτων με σοβαρή υποστήριξη.

Σε ευρύτερο επίπεδο, η υπόθεση NanoKVM δείχνει πόσο εύκολα ένα «φτηνό gadget για homelab» μπορεί να μπει σε κρίσιμες διαδρομές δικτύου χωρίς κανείς να έχει διαβάσει σοβαρά τεκμηρίωση ή πηγαίο κώδικα. Είναι λογικό η συζήτηση να εστιάζει στην Κίνα και στις υποχρεώσεις εταιρειών έναντι κυβερνήσεων, όμως ο ίδιος ο ερευνητής υπενθυμίζει ότι και μεγάλοι αμερικανικοί παίκτες έχουν βρεθεί να καταγράφουν ήχο ή να διαρρέουν δεδομένα μέσω ψηφιακών βοηθών. Το πραγματικό δίδαγμα δεν είναι «μην αγοράζεις από την τάδε χώρα», αλλά «ό,τι βάζεις στο δίκτυό σου, ειδικά αν έχει out of band πρόσβαση (IPMI, BMC κτλ.), πρέπει να περνάει από σοβαρό έλεγχο ασφάλειας, ανεξαρτήτως σημαίας πάνω στο κουτί».

Πηγές

• February report from researcher found Chinese KVM had undocumented microphone and communicated with China based servers, but many of the security issues are now addressed - Tom's Hardware
• How I discovered a hidden microphone on a Chinese NanoKVM - Telefoncek.si (Matej Kovačič)
• It turns out that a Chinese made KVM is secretly equipped with a microphone, and there are also traces of communication with a Chinese based server - Gigazine
• Response to concerns about NanoKVM security - Sipeed / NanoKVM GitHub issue 301