Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

WD My Cloud NAS mají vážnou bezpečnostní chybu, na niž výrobce přes rok nereagoval

21.9.2018, Jan Vítek, aktualita
WD My Cloud NAS mají vážnou bezpečnostní chybu, na niž výrobce přes rok nereagoval
Tom's Hardware informuje, že produkty My Cloud NAS od Western Digital obsahují chybu, která umožní komukoliv přistupovat k datům, která na nich máme uložena, a to přes Internet. Tato chyba je stále aktuální. 
Dnes jsou běžně nabízeny služby pro lokální úložná zařízení, které nám umožní snadno přistupovat k uloženým datům i z hloubi Internetu, což lze snadno zařídit i bez nich v případě, že máme k dispozici pevnou a veřejnou IP. Bez ní je to ale už složitější a právě proto jsou na trhu produkty jako My Cloud od Western Digital. To je v pořádku, pokud ovšem v těchto produktech není chyba, která umožní k datům přistupovat nejen povolané osobě. 
 
 
Takovou chybu našel Remco Vermeulen ze Securify a nezávisle na něm o ní informuje také Exploitee.rs. Jde o možnost obejít ověření uživatele při přístupu k produktům My Cloud, která tu je již od minulého roku. Vermeulen uvedl, že už v srpnu roku 2017 se o tuto chybu podělil s firmou Western Digital, ale nikdy od ní nedostal odpověď. Člověk stojící za účtem Exploitee.rs říká to samé a dokonce měl o chybě veřejně mluvit na Def con 25, ovšem jeho informace také nebyly následované žádnou reakcí. 
 
Jde přitom o získání přístupu na úrovni administrátora bez nutnosti znát heslo, což zahrnuje také možnost spouštět různé příkazy, měnit nastavení a zkrátka převzít úplnou kontrolu nad úložištěm. To už Vermeulen prokázal na svém My Cloud, dosud prodávaném 2YB modelu WDBCTL0020HWT s firmwarem verze 2.30.172, přičemž stejnou chybu pravděpodobně mají i jiné modely. 
 
Jak složité ale je toto zneužití chyby v produktech My Cloud? Nijak zvlášť a Vermeulen navíc celý postup krok za krokem uvádí na svých stránkách a navíc přikládá animovaný gif, který to názorně ukazuje. 
 
To samozřejmě ohrožuje uživatele těchto produktů, ovšem nelze se divit tomu, že pokud Western Digital ani po roce nereagoval na upozornění od dvou lidí, ti se rozhodli s celou věcí jít na veřejnost. Western Digital tak byl konečně přinucen reagovat a tento týden přišel s vyjádřením, že tato věc se netýká produktů My Cloud Home a že plánuje do několika týdnů přijít s novými opravnými firmwary. 
 
Obzvláště kouzelné je pak vyjádření na konci, kde Western Digital píše, že "neustále pracuje na vylepšování schopností a bezpečnosti" svých produktů, což zahrnuje i spolupráci s komunitou zabývající se bezpečností. Dále píše, že preferuje zodpovědné odhalování problémů a chyb, aby byla zajištěna bezpečnost zákazníků, zatímco se firma bude daným problémům věnovat. To by ovšem nesměla více než rok hrát mrtvého brouka, anebo by měla zapracovat na tom, aby se někdo ze zákaznické podpory nahlášeným chybám opravdu věnoval. Je to přeci i v jejím zájmu.