Сетевое устройство Anonabox использует незашифрованный Wi-Fi

Один из разработчиков краудфандингового проекта Cloak  обнаружил  несколько  уязвимостей  в ПО сетевого устройства Anonabox. Специалист считает, что решение использует незашифрованный Wi-Fi-канал, и имеет слабозащищенный интерфейс администратора, доступ к которому можно получить из интернета.

Anonabox вызвал резонанс в интернете в октябре 2014 года после того, как, получив финансирование через краудфандинговый сервис, оказался уязвимым. Проанализировав новое устройство, эксперт обнаружил, что Wi-Fi-канал в Anonabox все еще не зашифрован.

Специалист также обнаружил, что IPv6-адрес в версии устройства для Linux не защищен. Для порта 80, который обеспечивает доступ к web-интерфейсу устройства, в прошивке прописан пароль admin. Для порта 32891, который открывает доступ к SSH-оболочке, также используется admin в качестве имени и пароля.

Эксперт критикует разработчиков Anonabox за отсутствие предоставленного исходного кода и говорит, что устройство нуждается в обновлении прошивки для того, чтобы изменить прописанный пароль администратора. Дамп-файлы, которые предоставил эксперт, показывают, что ОС OpenWRT, на которой основан Anonabox, была разработана в Китае. Также можно обнаружить, что пользователь не имеет возможности ни изменить пароль, заданный по умолчанию, ни включить в сетевом устройстве шифрование для Wi-Fi. После того, как кампания Anonabox по сбору средств была приостановлена на Kickstarter, проект был перенесен на сервис Indiegogo, где собрал более $80 000.