[QNAP] [KODI] 嚴重系統安全洩漏

本帖最後由 anon 於 2015-10-30 16:21 編輯

前言: 小弟長期CD-ROM, 今次事件不吐不快, 還望各師兄見諒, 多多指教.

近日小弟發現喺 QNAP 用 KODI 存在非常嚴重o既系統安全洩漏, 本來靜靜o地諗住叫官方fix就算.
豈料QNAP官方竟然堅持唔係問題, 唯有同各位分享, 如果覺得受影響o既朋友就請自行斟酌喇.

警告: 使用QNAP HD Station 內 KODI將完全放棄所有privilege settings, 任何使用者皆可讀取NAS內所有folder/filename, 並可瀏覽NAS內所有multimedia contents [2015/10/29]
[2015/10/30更新] 任何KODI使用者均可自行安裝txt/pdf reader, 或可讀取所有txt/非密碼保護之pdf files

用熟KODI o既師兄都應該知道, KODI除咗可以睇到local o既Photos/Music/Videos之外, 仲可以add好多repositories/programs/addons/sources, 功能的確非常強大.
小弟亦用KODI多時, 整咗個"guest account", 無set password, 該 account只有"/Multimedia" o既讀取權, 方便屋企人都可以簡單使用.
於是o係HD Station用呢個guest account登入, 再開KODI
問題就出o左o係 "add source" 裏面, 各位師兄都不妨試吓,
Videos -> Files -> Add source -> Browse -> Root filesystem
非常奇怪佢竟然真係開linux 最base個 "/" root directory度, 入"/bin" "/system" 嗰啲係暢通無阻, 根本係以root身份使用KODI.
任何一個account其實都以root身份使用KODI, 等於完全不設防.
只要大家"Add Sources" 將 "/share/" , "/home/" , "/homes/" 加入, 基本上任可使用者透過FTP/File Station/Network Drive儲存data o既所有folder/filename全部任睇.
如果裏面係Photos/Music/Videos o既話更加連內容都係任開任睇無得嬲.
所有人, 包括admin, 即時變成 0 私隱!

為此小弟已經同QNAP HK support周旋咗好幾次email來往要求正視, 無奈收到o既答覆非常令人失望.
對方回應大致如下:
1. KODI output 只有HDMI, 不涉及網絡或系統風險. [代表資料可以任睇? 唔可以有私人資料嗎?]
2. 如不能接受此重大安全漏洞, 請自行disable KODI. [ 貴網站發放新聞稿聲稱支援KODI o架(見註), 只有呢種程度也能算是支援嗎?]
3. 官方有HDplayer, 可代替KODI播放NAS內檔案. [但KODI的強大功能可不是HDplayer能比較的吧?]
4. KODI由非QNAP研發, QNAP不會修改以達至privilege settings 配合NAS內之設定. [拜託, KODI是open source的, 搞privilege當然唔容易啦, 但最簡單o既 temp. quick fix, 先把所有add source -> browse -> root filesystem一選項先刪除再compile一次, 有咁難咩?]
5. 閣下的意見QNAP收到了, 將視作feature request處理而並非BUG [咁大個問題都可以話唔係BUG, 無言…]

小弟在此申述, 此post目的絕非要抹黑QNAP, 而係要求QNAP正視問題.
作為一個Storage System Provider, 無理由可以見到咁大個漏洞, 仍然可以視而不見.
官方朋友如發現與事實不符, 歡迎提出. 如有冤枉或誤導任何人之處, 小弟願為此道歉.
希望此post不會無故被刪除啦.

利申: 從未用過S記, 只係一個好普通o既TS-251 用家, 測試環境: HD Station 3.08, KODI 14.2

註: QNAP 有關KODI之新聞稿
http://www.qnap.com/i/en/news/con_show.php?op=showone&cid=416
http://www.qnap.com/i/cht/news/c ... showone&cid=416

They use chroot environment to start kodi and hd station
So they may need to 砍掉重煉 and theirs no temp/quick solution

(Sent from HKEPC iPhone app)

TOP

咁都得?咁經Samba 有冇同樣問題?

via HKEPC Reader for Android

TOP

前言: 小弟長期CD-ROM, 今次事件不吐不快, 還望各師兄見諒, 多多指教.

近日小弟發現喺 QNAP 用 KODI 存在 ...
anon 發表於 2015-10-29 18:50

唔加root filesystem 便看不到嗎?

via HKEPC Reader for Android

TOP

本帖最後由 9658@transperth 於 2015-10-29 22:58 編輯

如果淨係想個acc讀返multimedia呢個folder 而又唔駛再add source嘅話
入番KODI control panel裏個外觀
我係檔案列表入面disalbe返"在檔案列表中顯示新增來源的按鈕"嘅話
呢個方法work唔work呢

TOP

回覆 3# chanzilla

等我簡單講下咩事啦

1. KODI係用chroot環境執行,所以佢係root權限
2. 由於KODI係root權限,所以會無視HD Station用咩Account登入
3. 由於KODI係root權限,所以KODI可以睇晒NAS入面所有檔案

咁,HD Station登入有咩用?
> QNAP有一個APP叫HD Player,依個就真係會按你登入權限睇返Media Library Index左的檔案

咁依個係唔係Bug?
> 我覺得唔算,頂多叫軟件限制,當然,可以跟返權限就最好,但短期內冇咩可能做到,因為底層應該需要大改

TOP

回覆 4# 炎冬

個問題係手動新增path先見到,其實唔係新聞
只係大部份User都係自己用,冇咩所謂.....

當年HD Station V1.0已經係咁(果陣直情唔洗login)
HD Station V2.0打後,先有登入系統
P.S. 個登入系統前面已經講過,係比HD Player用Only....其他APP其實咪又係root權限........

至於其他品牌呢?相信有同樣問題,等其他ching測試

TOP

回覆  炎冬

個問題係手動新增path先見到,其實唔係新聞
只係大部份User都係自己用,冇咩所謂.....

當年H ...
wa124 發表於 2015-10-29 22:56



    咁又係, 我用transmission download野都是會用了admin個right去寫入部NAS...

另外剛剛update了4.2個更新..之後個rtorrent就炒左...我原本想uninstall佢再裝過果qpkg, 不過uninstall完..在appcenter已經沒左rtorrent, 請問會唔會加返上去...PT要用呀..佢唔食transmission..

TOP

本帖最後由 t1174-3 於 2015-10-29 23:37 編輯

HD Player 其實是XBMC 13, 因為 INTERFACE 太廢, 我一早就用回 XBMC INTERFACE, 而且, HD Player to XBMC 13 原INTERFACE 也真是太易, 沒有乜 PASSWORD LOCK 等, 因此, 是多數下動作, 但HD Player原則上也是有如樓主說的安全問題.

反而, HD STATION 可以說是沒有 WAN REMOTE, 其實, 安全問題其實也應只是在一家之中, 是大BUG, 但其實也不是太大問題吧. 反而, 我想 KODI/XBMC 唔好LOCK 起 LINK, 因為 起LINK 太有用, 就是唔好教家人用就是了.

TOP

另外, 其實比ROOT 權是只有KODI OR 全個 HD STATION 也是?
多少比較怕是 HD STATION 有 CHORME

TOP