Proses Menemukan Mikrofon Tersembunyi di NanoKVM Buatan China

 (telefoncek.si)
7 poin oleh GN⁺ 2025-12-07 | 2 komentar | Bagikan ke WhatsApp
  • NanoKVM yang dikembangkan perusahaan China Sipeed adalah switch KVM hardware ultra-kecil yang dapat mengendalikan PC atau server dari jarak jauh, dan menarik perhatian berkat harga murah serta janji keterbukaan open source
  • Perangkat ini memiliki port HDMI, USB-C, dan Ethernet serta dapat dikendalikan dari jarak jauh melalui browser, termasuk akses BIOS dan kontrol daya
  • Namun, ditemukan banyak kerentanan keamanan seperti kata sandi default, kunci kriptografi yang di-hardcode, ketergantungan pada server DNS China, serta komunikasi pembaruan yang tidak terverifikasi
  • Secara khusus, terdapat mikrofon internal berukuran 2×1mm yang tidak dicantumkan dalam dokumentasi, dan perekaman dapat dilakukan setelah masuk lewat SSH menggunakan perintah amixer dan arecord
  • Berkat struktur open source, pengguna dapat memasang distribusi Linux kustom dan melepas mikrofon, tetapi kasus ini menyoroti potensi risiko penyadapan pada perangkat IoT kecil

Gambaran umum dan cara kerja NanoKVM

  • NanoKVM adalah switch KVM hardware berbasis RISC-V buatan Sipeed yang memungkinkan kontrol komputer dari jarak jauh
    • Menerima sinyal video melalui HDMI dan menampilkan layar di browser
    • Mengemulasikan keyboard, mouse, CD-ROM, USB drive, dan adaptor jaringan melalui USB
  • Tanpa perlu instalasi software, kontrol jarak jauh dapat dilakukan hanya dengan koneksi fisik, dan dengan aksesori manajemen daya pengguna dapat menyalakan, mematikan, dan mereset perangkat
  • Model lengkap dibanderol sekitar 60 euro, versi ringkas sekitar 30 euro, jauh lebih murah dibanding produk pesaing PiKVM
  • Perangkat ini dibuat di atas arsitektur RISC-V open source, dan produsennya merilis sebagian besar kodenya sebagai open source

Cacat awal dan masalah keamanan

  • Batch produksi awal sempat ditarik karena kesalahan deteksi sinyal HDMI, lalu pengembangan software berjalan cepat setelahnya
  • Perangkat dikirim dalam kondisi kata sandi default aktif, dan akses SSH diaktifkan
    • Setelah dilaporkan ke produsen, hal ini diperbaiki, tetapi masih banyak kerentanan lain yang tersisa
  • UI web memiliki cacat struktural serius seperti tidak adanya perlindungan CSRF, sesi yang tidak bisa dinonaktifkan, dan penggunaan kunci enkripsi yang sama di semua perangkat
  • Perangkat ini secara default menggunakan server DNS China, lalu berkomunikasi dengan server Sipeed untuk mengunduh pembaruan dan komponen tertutup
    • Kunci autentikasi disimpan dalam plaintext, dan tidak ada verifikasi integritas pembaruan
    • Versi modifikasi WireGuard tidak berfungsi di sebagian jaringan
    • Menggunakan Linux yang diperkecil dengan systemd dan apt dihapus
Iklan

Alat peretasan bawaan dan konfigurasi yang mencurigakan

  • Di dalam perangkat terdapat tcpdump dan aircrack
    • Keduanya berguna untuk analisis paket jaringan dan pengujian keamanan nirkabel, tetapi bisa disalahgunakan sebagai alat serangan
    • Mungkin dipakai untuk debugging selama pengembangan, namun tidak pantas disertakan dalam versi produk

Penemuan mikrofon tersembunyi

  • Terdapat mikrofon SMD ultra-kecil (2×1mm) yang tidak tercantum dalam dokumentasi resmi
    • Setelah masuk lewat SSH, pengguna dapat merekam audio berkualitas tinggi menggunakan perintah amixer dan arecord
    • File rekaman bisa disalin ke komputer lain atau bahkan di-streaming secara real time
  • Mikrofon bisa dilepas, tetapi pembongkarannya sulit dan memerlukan pekerjaan presisi setingkat mikroskop
  • Karena perangkat ini sudah memiliki alat perekam yang terpasang sebelumnya, strukturnya dinilai sangat berisiko dari sisi keamanan

Alternatif open source dan kemungkinan penanganan

  • Berkat struktur open source, dimungkinkan untuk memasang distribusi Linux kustom
    • Seorang pengguna sedang mem-porting OS kustom berbasis Debian, yang kemudian berkembang menuju dukungan Ubuntu
    • Proses instalasinya dilakukan dengan melepas kartu SD lalu mem-flash software baru
    Iklan
  • Pengguna dapat melepas mikrofon, atau sebaliknya menghubungkan speaker dan memanfaatkannya sebagai perangkat pemutar audio
    • Dalam pengujian, speaker 8Ω 0.5W menunjukkan kualitas suara yang baik
    • PiKVM juga baru-baru ini menambahkan fitur audio dua arah

Kesimpulan dan perluasan kesadaran masalah

  • NanoKVM mengandung banyak risiko keamanan, termasuk kata sandi default, komunikasi dengan server China, keberadaan alat peretasan, dan mikrofon tersembunyi
  • Masalah-masalah ini tampaknya berasal dari kelalaian dan pengembangan yang terburu-buru, tetapi dari sudut pandang pengguna tetap merupakan risiko serius
  • Artikel ini mengajukan pertanyaan: “berapa banyak perangkat dengan fungsi tersembunyi yang ada di rumah kita
    • Disebut pula kasus Apple Siri yang merekam percakapan pribadi hingga berujung pada penyelesaian senilai 95 juta dolar,
    • gugatan terkait asisten suara Google,
    • serta laporan bahwa Apple menjalankan pelatihan pengawasan tertutup untuk polisi
  • Kesimpulannya, bukan hanya produk buatan China, tetapi juga praktik privasi perusahaan IT global yang perlu diwaspadai

Lampiran: Cara merekam audio di NanoKVM

  • Setelah masuk lewat SSH, mikrofon dapat diuji dengan menjalankan perintah berikut
    • amixer -Dhw:0 cset name='ADC Capture Volume 20' : mengatur sensitivitas mikrofon
    • arecord -Dhw:0,0 -d 3 -r 48000 -f S16_LE -t wav test.wav & > /dev/null & : merekam selama 3 detik
  • File test.wav hasil rekaman dapat disalin lalu diputar

Bacaan terkait

2 komentar

 
GN⁺ 2025-12-07
Komentar Hacker News
  • Mikrofon tercantum di lembar spesifikasi LicheeRV Nano
    Kemungkinan besar niatnya bukan memasang mikrofon pada produk KVM, melainkan menekan biaya dengan mendaur ulang papan SBC yang sudah ada
    Tentu tetap bermasalah karena hal ini tidak dijelaskan dengan jelas, dan ada juga isu keamanan firmware sehingga kesannya memang buruk
    Namun, ungkapan “mikrofon tersembunyi di KVM buatan Tiongkok” agak memancing imajinasi secara berlebihan
    • Saya kira ini lebih merupakan hasil dari pendekatan manufaktur ala Tiongkok daripada niat jahat
      Dokumentasi keamanannya nyaris tidak ada, sehingga terkesan seolah memiliki tingkat keamanan setara secarik kertas
    • “Menggunakan ulang stok yang ada” tidak bisa dijadikan alasan
      Perangkat ini dijual saat ini tanpa mengungkap fakta bahwa ada mikrofon yang berfungsi di dalamnya
    • Karena ini “buatan Tiongkok”, orang bisa membayangkan pemerintah Tiongkok dapat mengakses mikrofonnya,
      tetapi jika tingkat akses seperti itu memang mungkin, maka seluruh I/O KVM juga pasti bisa dibaca
    • Mikrofon hampir tidak pernah berguna pada KVM yang dipasang di ruang server
      Justru fitur seperti keylogger jauh lebih berbahaya, jadi lebih baik memakai perangkat yang mendukung perangkat lunak open source
  • Sebagian keluhan tampaknya ditulis oleh orang yang tidak punya pengalaman dengan embedded Linux
    Masalah yang sebenarnya adalah secret key JWT yang di-hardcode, eksekusi dengan hak root, dan sejenisnya,
    sementara DNS Tiongkok atau tidak adanya systemd sama sekali bukan hal aneh
    Terpasangnya tcpdump atau aircrack juga tidak banyak mengubah situasi dari sisi keamanan
    Kebanyakan pengguna tidak akan mengekspos antarmuka web ke luar, dan Tailscale bawaan justru cukup mengesankan
    Penyebutan “versi WireGuard yang aneh” kemungkinan besar hanya salah paham
    • Saya rasa sebagian besar thread ini dipenuhi ketidaktahuan dan prasangka
      Perusahaan ini memang sejak awal membuat board pengembangan dan SoC, dan kodenya juga dipublikasikan di GitHub
      Selain itu, SiSpeed juga berkontribusi ke Linux mainline RISC-V
      Keamanan embedded pada dasarnya lemah di negara mana pun
    • Jika memakai Hanlon’s Razor, ini tampak lebih sebagai akibat dari ketidakmampuan ketimbang niat jahat
      Ini bisa dipahami sebagai keterbatasan proyek crowdfunding,
      tetapi penulis tampaknya menafsirkannya sebagai upaya peretasan yang disengaja
      Faktanya, banyak botnet terbentuk dari router lama yang tidak pernah ditambal
    • Daftar masalahnya terlihat seperti campuran kurangnya pemahaman tentang Linux dan prasangka
  • Ada yang menyebut kasus gugatan Siri milik Apple yang berakhir dengan penyelesaian sebesar 95 juta dolar,
    dan mengatakan kalimat clickbait seperti “bahkan Apple yang mengutamakan privasi saja begini” bisa dimengerti
    • Namun kutipan itu berpotensi menyesatkan
      Pihak penggugat sendiri mengakui bahwa rekaman itu terjadi karena aktivasi yang tidak disengaja,
      dan tidak ada bukti bahwa Apple menggunakannya untuk iklan tertarget
      Apple hanya memberikan sebagian data kepada kontraktor eksternal untuk peningkatan Siri
  • Saya juga pernah mengalami masalah keamanan serupa pada KVM saya
    Itu KVM biasa yang dipakai untuk berbagi beberapa PC, lalu suatu hari saya mendapati perangkat itu mengirim trafik hingga GB dengan IP-nya sendiri
    Saya langsung memutus koneksinya dari jaringan, tetapi karena perangkat itu bisa menangkap layar dan mengakses perangkat input,
    saya khawatir data mungkin sudah bocor sehingga akhirnya saya buang sebagai limbah elektronik
    Saya jadi sadar betapa berbahayanya KVM yang terhubung ke jaringan
    • Sayang dibuang. Kalau trafiknya ditangkap dengan Wireshark lalu informasi modelnya dibagikan,
      itu bisa menjadi peringatan bagi orang lain
    • Mungkin sebenarnya cukup dengan mematikan pengaturan “Broadcast to multicast” atau mengubah alamat tujuan
      Beberapa KVM jaringan memang memakai fungsi seperti itu untuk aplikasi kendali jarak jauh
    • Saya penasaran apakah nama modelnya bisa dibagikan. Ini bisa menjadi masalah yang terkait dengan keamanan publik
  • Saya tidak paham kenapa bagian “Linux tanpa systemd dan apt” dianggap masalah
    • Kemungkinan besar itu Alpine Linux
      Jelas juga tidak akan ada GNOME, jadi lucu kalau itu dijadikan masalah
    • Kalau perangkat lunaknya tidak ada dibilang masalah keamanan, kalau ada juga dibilang masalah keamanan; kontradiktif
    • Untuk perangkat embedded kecil seperti ini, konfigurasi seperti itu justru wajar
      Bisa ada busybox saja sudah cukup bagus
    • Menjadikan keberadaan tcpdump dan aircrack sebagai masalah terasa seperti artikel sensasional buatan AI
  • Mikrofon adalah komponen yang mencolok di papan, jadi sulit disembunyikan
    Malah akan lebih licik jika memakai kapasitor film murah yang dihubungkan ke ADC kelas tinggi
    Dalam desain audio analog, karakteristik noise seperti ini penting,
    dan dengan menggabungkan kapasitor berbeda untuk tiap frekuensi serta pemrosesan digital,
    kualitas suara setara mikrofon murah pun bisa direproduksi
    • Namun tetap bermasalah bila ada komponen di papan yang secara resmi tidak digunakan dalam produk
      Sekalipun itu kesalahan, itu menunjukkan kelalaian, dan jika dipakai di rumah bisa menjadi risiko serius
  • Klaim bahwa “ini bermasalah karena tidak berbasis Debian” tidak masuk akal
    Tidak adanya apt bukan berarti ada isu keamanan
  • Jika ini KVM yang memaksa penggunaan DNS Tiongkok, itu sendiri sudah merupakan tanda bahaya
    KVM berbasis internet terasa sulit dipercaya
    • Tapi lalu muncul juga pertanyaan, apakah DNS yang dikelola NSA harus dianggap lebih tepercaya
    • Teknologi manajemen jarak jauh kelas enterprise seperti iLO, iDRAC, dan vPro juga membawa risiko serupa
  • Ini bukan berita baru
    Sejak awal mikrofon memang sudah termasuk di papan itu sendiri, dan NanoKVM dibuat berdasarkan papan tersebut
 
chcv0313 2025-12-09

Meskipun ada beberapa kalimat sensasional untuk menarik perhatian, ini tetap merupakan hal yang cukup perlu diwaspadai, dan komentar-komentar yang membantahnya juga bagus isinya.