Добрый день!

Эксплуатируем более ста телефонов этой модели.
Недавно были обнаружены следующие особенности данного аппарата:
1. зайдя на web-интерфейс телефона под дефолтной учетной записью guest с паролем guest (уровень доступа общий), можно менять конфигурацию телефона: настройки IP, SIP и прочие. Можно даже глянуть на конфигурационный файл с паролями.
2. при удалении этой учетки guest, она вновь появляется после перезагрузки телефона. Появляется с паролем guest даже если до удаления он был сменен.

Версия Firmware на данном аппарате: GE_1.00
Подскажите, это баг или особенность данных телефонов?

Особенность

Будет ли исправлена эта "особенность" в последующих версиях прошивок для данного аппарата?
И чем тогда уровень пользователя "общий" отличается от "администратор"?

Я правильно понимаю, что в ответ на сообщение о грубейшей ошибке ваших программистов, затрагивающей безопасность всех организаций, использующих у себя вашу продукцию, вы даете официальный ответ, что ваше оборудование обладает отличительной особенностью свободного предоставления любым желающим доступа к хранящимся в ваших устройствах персональным данным и D-link считает данную политику нормальной и менять ничего не собирается. Всё верно?

Нет, Вы можете поменять пароли основного и гостевого аккаунта.

И... Пароль у у четной записи guest как меняется, так и удаляется вместе с учетной записью. http://www.securitylab.ru/lab/PT-2011-08. Особенностью устройства является возможность промотра файла конфигурации из учетной записи guest

Добрый день,
Как писал ранее наш сотрудник, вопрос решается либо удалением учетно записи guest, либо заданием пароля для нее. На новой ревизии телефонов F3 такой проблемы нет, для старых ревизий F1/F2 будет выпущен апдейт с исправлениями.

_________________
С уважением,
Виктор Колосов

Замечательная такая "особенность"! Ждал фразу представителя в более развернутом виде "Особенность - что заплатили, то и получили...". Видимо спецу было просто лень писать

Новость уже на хабре.
И да, назвать это фичей, а не багой, крайне безответственно.

раз уж тема о безопасности, позвольте спросить - зачем пользователям, а тем более хакерам иметь доступ в голосовой вилан?

ну не везде же отдельный влан...