 |
| Facepalm formato Godzilla meritatissimo. |
Non ci posso credere. Seagate, notissima marca di dischi rigidi, ha messo in vendita dei dischi accessibili via Wi-Fi lasciando nel firmware un accesso nascosto (raggiungibile via riga di comando con telnet) che permette a chiunque di leggere e scrivere sul disco stesso. Basta sapere il nome dell'account, che è un prevedibilissimo root, e indovinare la password di quest'account, che è ancor più prevedibilmente root.
I modelli contenenti questa simpatica funzione non documentata sono i Seagate Wireless Plus Mobile Storage, i Seagate Wireless Mobile Storage e i LaCie FUEL. La segnalazione proviene dal CERT.
Come se non bastasse questa falla, questi stessi dispositivi hanno altre due falle che permettono a chiunque di scaricare e, rispettivamente, caricare file di qualunque tipo via Wi-Fi.
Immaginate quindi chi compra questo genere di disco rigido pensando che sia un modo pratico per avere qualche cavo in meno in giro e poi scopre che chiunque può scaricarne il contenuto e può anche alterarlo, per esempio mettendovi versioni infette di applicazioni e copie taroccate di documenti oppure iniettandovi file compromettenti (“Caro, aspetta, posso spiegarti tutto, quel video con la Nutella e il labrador me l'ha messo su un hacker via Wi-Fi”).
Seagate ha pubblicato un firmware aggiornato, ma resta da vedere quanti clienti ne verranno informati e rimedieranno. Forse questa foga modaiola di eliminare i cavi (il cosiddetto cord-cutting) in favore delle connessioni senza fili andrebbe ragionata un attimo.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
