中国に拠点を置く企業Sipeedが開発したKVMスイッチ「NanoKVM」は、仮想キーボード、マウス、モニターを利用してコンピューターやサーバーをリモート操作できる端末として、他社製品と比較して安価であることからオンラインで急速に注目を集めていた。しかし、スロベニアのセキュリティ研究者がこのデバイスを調査した結果、設計上の深刻なセキュリティ上の欠陥と、予期せぬ機能の存在が明らかになった。

初期のロットでは、本来は厳重に鍵管理されるべきものが、デフォルトのパスワードが設定されておりSSH（Secure Shell：セキュア・シェル）へのアクセスが可能であったという脆弱性が指摘された。SSHはネットワーク越しに、別のコンピューターやサーバーへ「安全にログインして操作する」ための通信プロトコル。
通信内容（ログイン情報やコマンド、データ）は暗号化されるため、盗聴や改ざんに強いのが特徴。しかし、今回の問題点は、出荷時の商品にパスワードが設定されており、「ネットワーク越しに第三者が機器へ侵入し、内部機能を自由に操作できる入口が開いていた」点にある。

この問題は研究者による報告後にSipeedによって修正されたものの、NanoKVMには他にも複数のセキュリティ上の懸念事項が山積していた。

隠されたマイクと中国拠点サーバーとの通信の痕跡

研究者によって確認された最も重大な発見の一つは、公式ドキュメントには明記されていない、わずか2mm×1mmの内蔵マイクがひっそりと搭載されていた点である。このマイクはSSH経由で外部から起動可能であり、必要な録音ツールはすべてデバイスにデフォルトでインストールされていた。

さらに問題視されたのは、NanoKVMが更新時に、中国のSipeed社のサーバーからオープンソースではない「中身を確認できないソフトウェア（クローズドソースコンポーネント）」をダウンロードしていた形跡が確認された点である。本来、こうしたソフトウェアの正当性や安全性を確認するためには厳重な検証が必要だが、その検証に使われる暗号鍵が、デバイス内部に暗号化されないまま平文で保存されていたことも判明した。このため、第三者がその鍵を入手すれば、正規を装った不正なプログラムを読み込ませることが可能になる恐れがあると研究者は指摘している。

そのほかにも、基本的なセキュリティ対策が欠けている点が複数指摘された。
管理画面のユーザーインターフェースにはCSRF対策（利用者が気付かないうちに外部から不正な操作を実行されることを防ぐ仕組み）が施されておらず、ログイン中のセッションを無効化する手段も存在しなかった。
さらに、ブラウザ経由のログイン時に使用される暗号化キーがハードコード（プログラム内に固定値として埋め込まれている状態）されており、すべてのデバイスで共通だったことが判明している。このため、一度仕組みが解析されると、攻撃者が通信内容を解読し、パスワードを入手できる恐れがあると指摘された。

また、ネットワークパケット解析や無線セキュリティテストに一般的に使用される「tcpdump」と「aircrack」といった、悪用される可能性のあるハッキングツールが製品版のデバイスに存在していたことも警戒すべき点であるとされた。研究者は、このデバイスが「セキュリティ上の欠陥だらけ」であると総括している。

コミュニティによる代替策

研究者は、これらのセキュリティ上の問題は開発者の悪意によるものではなく、極度の不注意と急ピッチの開発から生じているものと確信しているが、それによって懸念が薄れるわけではないと述べている。

幸いなことに、NanoKVMは名目上オープンソースであるため、コミュニティメンバーが代替のLinuxディストリビューションの移植を既に開始している。これにより、ユーザーは好みのバージョンを利用し、組み込まれた機能制限のあるLinuxや不要なツール、セキュリティリスクの高いコンポーネントから脱却できる見込みである。しかし、内蔵マイクの物理的な取り外しは、デバイスの分解が難しく、マイクが非常に小さいために顕微鏡や拡大鏡を使った適切なはんだ付け除去が必要であり、ハードウェアレベルの対策はユーザーにとって容易ではないと予測される。