В "умной" лампочке выявлено нарушение GPL и серьёзные проблемы с безопасностью
Мэтью Гаррет (Matthew Garrett), известный разработчик ядра Linux и один из директоров Фонда Свободного ПО, в своё время получивший от Фонда СПО премию за вклад в развитие свободного ПО, опубликовал результаты экспериментов с умной электроникой, развиваемой в рамках концепции "интернет вещей". В купленной им "умной" лампочке iSuper iRainbow001, поддерживающей управление через Wi-Fi или интернет, выявлено нарушение лицензии GPL и наплевательское отношение к безопасности.
Прошивка лампочки основана на ядре Linux и Busybox, но производитель нигде не уведомляет об использовании компонентов под лицензией GPL и не даёт возможности загрузки используемых исходных текстов.
Устройство предоставляет возможность удалённого входа по протоколу telnet, при этом пароль для доступа с правами root подбирается почти мгновенно (логин admin, пароль admin). Управляющие команды передаются по UDP с использованием незащищённого протокола, позволяющего любому, знающему IP-адрес устройства (выдаётся по DHCP), управлять работой лампочки. При удалённом обращении протокол предусматривает проведение аутентификации, но логин и пароль предопределены производителем (логин w13733, пароль gbigbi01) и передаются без применения средств шифрования.
Кроме того, устройство по умолчанию поднимает свою скрытую беспроводную сеть (SSID "iRainbow"), допускающую доступ без аутентификации, и запускает DHCP-сервер, что позволяет любому злоумышленнику в пределах досягаемости Wi-Fi подключиться к устройству и организовать атаку на локальную сеть пользователя.