AMX, i superpoteri delle backdoor

I ricercatori identificano un account "segreto" all'interno degli apparati di comunicazione utilizzati dai vertici delle autorità statunitensi. Il produttore chiude la falla ma ne apre un'altra identica

Gli analisti di SEC Consult hanno scovato una vera e propria backdoor negli apparati prodotti da AMX, produttore (parte di HARMAN Professional Division) dei sistemi di comunicazione utilizzati dalla Casa Bianca, dai militari USA e dalle grandi corporation. I sistemi dovrebbero essere sicuri, almeno in teoria, ma la realtà appare molto diversa.

Secondo le ricerche di SEC Consult, il dispositivo AMX NX-1200 include una funzione chiamata “setUpSubtleUserAccount” che può essere utilizzata per creare un account nascosto, dotato di abilità speciali – non disponibili nemmeno a un amministratore – e facilmente controllabile tramite l’interfaccia Web integrata o con connessione remota sicura (SSH) grazie a una password codificata.

In teoria, ma anche in pratica, chiunque fosse a conoscenza della funzionalità nascosta – dopo opportuno lavoro di reverse engineering del codice – potrebbe intromettersi nelle comunicazioni ai massimi livelli, incluse quelle tra Barack Obama e i militari.

Chi ha programmato la backdoor in AMX NX-1200 doveva essere un fan dei supereroi Marvel, dicono da SEC Consult, visto che l’account nascosto individuato nel sistema si chiama Black Widow ; ulteriori ricerche hanno evidenziato la stessa falla, che a questo punto può essere considerata una vera e propria funzionalità intenzionalmente realizzata, all’interno di altri 30 prodotti marcati AMX.

La backdoor nel codice di AMX è stata individuata all’inizio del 2015, gli analisti hanno avvertito subito il produttore ma i programmatori si sono messi al lavoro solo molti mesi dopo. La soluzione implementata da AMX? L’apertura di un diverso account con superpoteri, 1MB@tMaN, questa volta dedicato a Batman.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti