Rodecaster Duo 펌웨어 분석서 기본 활성화된 SSH와 서명 검증 부재가 드러났습니다

한 사용자가 Rodecaster Duo의 펌웨어 업데이트 과정을 분석한 결과, 업데이트 파일이 gzip tarball 형태로 로컬에 저장되며 장치 내부 실행 파일과 업데이트 스크립트를 확인할 수 있었다고 밝혔습니다. 장치는 이중 파티션 구조로 복구 가능성을 갖췄지만, 들어오는 펌웨어에 대한 서명 검증은 없었고 SSH가 기본 활성화된 상태였습니다.

SSH가 공개키 인증만 허용된다는 점은 무차별 대입 위험을 낮추지만, 기본 authorized keys가 포함된 구조는 제조사 접근 권한과 장기적인 키 관리 측면에서 보안 논란을 부를 수 있습니다. 동시에 서명되지 않은 펌웨어는 사용자의 장치 수정권을 넓히는 반면, 악성 펌웨어 주입 가능성을 키워 임베디드 오디오 장비의 보안 설계가 다시 쟁점이 되고 있습니다.

My audio interface has SSH enabled by default