2015/09/07

Dischi rigidi wireless Seagate hanno accesso nascosto. Account: root, password: root

Facepalm formato Godzilla meritatissimo.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “giampi*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/09/08 11:00.

Non ci posso credere. Seagate, notissima marca di dischi rigidi, ha messo in vendita dei dischi accessibili via Wi-Fi lasciando nel firmware un accesso nascosto (raggiungibile via riga di comando con telnet) che permette a chiunque di leggere e scrivere sul disco stesso. Basta sapere il nome dell'account, che è un prevedibilissimo root, e indovinare la password di quest'account, che è ancor più prevedibilmente root.

I modelli contenenti questa simpatica funzione non documentata sono i Seagate Wireless Plus Mobile Storage, i Seagate Wireless Mobile Storage e i LaCie FUEL. La segnalazione proviene dal CERT.

Come se non bastasse questa falla, questi stessi dispositivi hanno altre due falle che permettono a chiunque di scaricare e, rispettivamente, caricare file di qualunque tipo via Wi-Fi.

Immaginate quindi chi compra questo genere di disco rigido pensando che sia un modo pratico per avere qualche cavo in meno in giro e poi scopre che chiunque può scaricarne il contenuto e può anche alterarlo, per esempio mettendovi versioni infette di applicazioni e copie taroccate di documenti oppure iniettandovi file compromettenti (“Caro, aspetta, posso spiegarti tutto, quel video con il burro di arachidi e il labrador me l'ha messo sul disco un hacker via Wi-Fi”).

Seagate ha pubblicato un firmware aggiornato, ma resta da vedere quanti clienti ne verranno informati e rimedieranno. Forse questa foga modaiola di eliminare i cavi (il cosiddetto cord-cutting) in favore delle connessioni senza fili andrebbe ragionata un attimo.


Aggiornamento (2015/09/08): Rispondo qui ai molti commenti che chiedono che senso abbia un disco rigido Wi-Fi, dato che comunque ha bisogno di almeno un cavo (l'alimentazione). Per esempio, ha senso se devo condividere lo stesso disco fra più utenti, specialmente in modo estemporaneo (vai a una festa, piazzi il tuo disco in condivisione, meglio se in sola lettura, e lasci che tutti ne scarichino foto, film o altro), oppure se il disco ha un filesystem non gestito dal dispositivo che vi vorrebbe accedere (un Mac che vuole scrivere su un disco NTFS, per citare un caso ricorrente).

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili