Um desenvolvedor do Projeto Manto está prestes a reacender a polêmica Anonabox com uma análise do dispositivo que considera ainda corre WiFi não criptografado e tem uma interface de administração alcançável-rede mal-fixada.
Anonabox atingiu as manchetes em outubro 2014 depois de levantar uma motza para multidão-financiamento, mas em pouco tempo, os especialistas em segurança alegou que havia buracos no kit supostamente assustar-rebentando.
O projeto Manto diz que é analisada uma unidade totalmente nova, eo WiFi ainda é criptografado.
O testador também descobriram que, enquanto o endereço IPv4 é bloqueado agradável e apertado, as pessoas configurando a distribuição Linux em Anonabox esqueceu de protegê-lo de acesso IPv6.
Há duas portas abertas na interface v6, o testador diz: Porta 80, que dá acesso à interface Web da unidade, com a senha "admin" hard-coded.
Mais a sério, embora, a porta 32891 é também ouvir sobre IPv6 - e que a porta permite o acesso a shell SSH da unidade (fornecido pelo servidor Dropbear leve) - novamente com raiz-admin como a combinação de usuário-senha.
"Lá você tem - shell de root em um Anonabox sem mudar uma única coisa", os pós notas.
O autor critica a falta de uma versão de código fonte para Anonabox, e diz que, pelo menos, o dispositivo precisa de uma atualização de firmware para matar a senha de administrador codificados.
Os grandes despejo-arquivos do posto fornece mostra que a implementação OpenWRT em Anonabox foi construído na China, e que os usuários estão impedidos de mudar a senha padrão - ou, para essa matéria, a partir da aplicação de criptografia para a interface sem fio:
Normalmente, OpenWrt (que o Anonabox é baseado em) está executando uma interface de usuário baseada na web que permitirá que o usuário altere a configuração do dispositivo. Apontando o navegador:http://126.16.2.1
resultou em - bem - absolutamente nada. Em outras palavras, não parece haver nenhuma maneira alguma de que um usuário pode fazer este dispositivo de segurança - bem - ahem - seguro.
Depois de ser suspenso pelo Kickstarter, Anonabox mudou sua campanha multidão-financiamento para Indiegogo, onde é levantado mais de US $ US80,000 .
Vulture Sul pediu Anonabox para comentar. ®
Nenhum comentário:
Postar um comentário