加载失败
原始报道描述在一款名为 NanoKVM 的网络 KVM 设备中发现板载麦克风,并指出设备运行裁剪过的嵌入式 Linux、曾出厂带默认密码、存在硬编码密钥与预装网络调试工具,同时会与中国的服务器通信。 评论区围绕两条主线展开:一方面指出该 KVM 基于 Sipeed 的 LicheeRV Nano 单板开发板(该板规格表已列明有麦克风),厂商因复用而未在产品说明中突出该硬件;另一方面强调更值得担忧的是默认凭据、以 root 运行、远程通信与补丁慢等实质性漏洞。 讨论同时涉及声学/风扇噪声等旁路通道的技术可行性与实际限制,并就网络隔离、开源固件与社区检测等缓解措施给出建议。
许多评论指出 NanoKVM 是直接基于 LicheeRV Nano 单板开发板(Sipeed 的 SBC)制作的,而该开发板的规格表本就列出显示、触摸、MIC 与放大电路,因此硬件上存在麦克风并非完全“隐蔽”。 评论认为厂商可能为复用现有库存、降低成本而沿用整板,而不是有意在 KVM 产品中植入监听后门;厂方也在文档中表示将在应用 2.2.6 与固件 1.4.1 后移除相关驱动并在后续批次去除这些组件。 多名评论以 Hanlon's Razor(疏忽优于恶意)为依据,认为这是设计/生产的懒惰和产品线重用导致的信息不透明,而非国家级情报机构刻意布设的证据。 这派观点把问题归结为产品定位与工程权衡,而不是主动间谍行为。
另有大量评论把注意力放在文章列出的实际漏洞:设备曾出厂带默认密码并开启 SSH、固件与 JWT 等密钥存在硬编码、系统以 root 运行大量服务以及固件加密或签名流程存在问题,这些都是会直接被利用的安全缺陷。 评论还指出设备与中国服务器通信、DNS 配置难以更改、缺乏 CSRF 防护且预装 tcpdump、aircrack-ng 等网络/无线分析工具,这些配置结合默认凭据会显著放大被接管的风险。 有用户回报该类 KVM 在网络上每天传输数 GB 流量并最终被物理隔离或丢弃,评论里有人认为相比麦克风,这类远程访问和凭据问题更值得紧急修补。 许多评论把危害归结为实践层面的可被利用点:远程控制、键盘/屏幕截取与数据外泄,而非单一的硬件传感器问题。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
讨论中有较多技术细节指向声学与环境信号能作为旁路通道:有人引用 arXiv 的风扇噪声调制研究和 IEEE 关于通过音频进行键盘侧信道的论文,说明键击声、风扇调制或超声都能承载低带宽外泄。 评论指出风扇调制带宽低但可被滤波接收,麦克风若位置合适可拾取附近机器的声音,即便目标机与 KVM 无直接网络连接也可能通过物理环境被利用。 同时也有反向讨论技术限制:在嘈杂的机房实现稳定监听需滤波、距离估计或硬件辅助,扬声器当麦克风通常需额外电路或 jack 切换,但这些并不排除对特定目标进行定向攻击的可行性。 该派观点既肯定声学旁路的真实威胁,又指出其在现实环境中存在的工程难度与带宽限制。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8] [来源9]
还有不少评论批评原文带有煽动性与“点击诱饵”风格,认为把缺少 systemd/apt、使用 BusyBox、或预装调试工具称为“漏洞”是夸大其词。 评论指出在低价位、低产量的嵌入式产品中复用现成镜像与工具链是常见且可理解的商业取舍,真正严重的问题是像共享密钥与默认凭据这样可被直接利用的设计错误,而不是“中国产”或存在麦克风就断定为后门。 多条回复把焦点拉回到补丁速度、可见源码与厂商修复意愿,反对以偏概全的民族化恐慌来替代技术审查。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6]
评论也提出多项务实防护措施:把 KVM/BMC 等管理设备放到受限的管理 VLAN 或独立子网、切断其互联网访问或仅允许受控的隧道(如 Tailscale),用 Wireshark 捕获并分析设备流量,或直接升级/刷入开源固件以移除不必要外设驱动。 有用户表示已把可疑设备隔离在单独子网或直接丢弃,另有呼吁社区制作替代固件或补丁,且厂商在文档中承诺通过新版应用/固件移除麦克风驱动与未来批次移除组件。 这些评论体现了长期的运维共识:最小暴露面与网络分割是缓解此类风险的第一步。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6]
KVM: KVM(Keyboard–Video–Mouse)指键盘-视频-鼠标切换器或远程 KVM 设备,可让操作者远程查看并控制连接主机的屏幕、键盘与鼠标,是常见的运维/远程管理边界设备。
BMC: BMC(Baseboard Management Controller,主板管理控制器)是服务器的带外管理微控制器(例如 iLO、iDRAC、vPro 属于同类管理功能),提供独立于主机操作系统的远程监控与控制,历史上常因暴露管理面而成为攻击目标。
旁路/侧信道攻击 (side‑channel attack): 旁路攻击指利用物理或环境信号(如声学、功耗、电磁或风扇噪声)泄露信息的技术;评论中讨论的例子包括通过麦克风拾取键击声、风扇噪声调制进行低带宽数据外泄等。
SBC / 开发板 (Single‑Board Computer / devboard): SBC(单板计算机)或开发板是把 CPU、内存、接口等集成在单块电路板上的嵌入式平台,厂商常以同一开发板做多种产品复用,导致意外带入开发板上的外设(如麦克风)。
LicheeRV Nano: LicheeRV Nano 是 Sipeed 推出的基于 RISC‑V 的单板开发板(devboard),被 NanoKVM 用作底板,原始硬件规格包含显示、触摸和 MIC 电路,厂商后续承诺通过固件/后批次移除相关驱动与组件。