Срещата с устройство за видеоконферентна връзка с бухал, използвано от реферите, е катастрофа за сигурността

Meeting Owl Pro е устройство за видеоконферентна връзка с набор от камери и микрофони, които улавят 360-градусово видео и аудио и автоматично се фокусират върху кой говори, за да направят срещите по-динамични и приобщаващи. Конзолите, които са малко по-високи от Amazon Alexa и имат подобие на дървесна сова, се използват широко от държавни и местни власти, колежи и адвокатски кантори.

Наскоро публикуван анализ на сигурността заключи, че устройствата представляват неприемлив риск за мрежите, към които се свързвате, и личната информация на тези, които ги регистрират и управляват. Наборът от слабости включва:

• Разкривайте имената, имейл адресите, IP адресите и геолокациите на всички потребители на Meeting Owl Pro в онлайн база данни, до която може да има достъп всеки, който знае как работи системата. Тези данни могат да бъдат използвани за картографиране на мрежови топологии, социални инженери или служители на dox.
• Устройството предоставя на всеки, който има достъп до него с разширение междупроцесен комуникационен канал, или IPC, се използва за взаимодействие с други устройства в мрежата. Тази информация може да бъде използвана от злонамерени вътрешни лица или хакери, които използват някои уязвимости, открити по време на анализа.
• Функцията Bluetooth, предназначена да разшири обхвата от устройства и да осигури дистанционно управление, на практика не използва никаква парола, което дава възможност на хакер в непосредствена близост да контролира устройствата. Дори когато е зададена незадължителна парола, хакерът може да я деактивира, без да се налага първо да я предоставя.
• Режим на точка за достъп Създава нов Wi-Fi SSID, докато използва отделен SSID, за да остане свързан с мрежата на организацията. Чрез използване на Wi-Fi или Bluetooth функционалността, нападателят може да хакне устройство Meeting Owl Pro и след това да го използва като точка за фишинг достъп, за да проникне или да проникне в данни или злонамерен софтуер в или извън мрежата.
• Изображения на заснети сесии на бяла дъска — които са предназначени да бъдат достъпни само за участници в срещата — могат да бъдат изтеглени от всеки, който разбира как работи системата.

Явните уязвимости остават некоригирани

Изследователи от modzero, базирана в Швейцария и Германия консултантска компания за сигурност, която провежда тестове за проникване, обратно инженерство, анализ на изходния код и оценка на риска за своите клиенти, откриха заплахите, докато извършваха анализ на решения за видеоконферентна връзка от името на неназован клиент. Компанията за първи път се свърза с Owl-Maker Owl Labs в Съмървил, Масачузетс, в средата на януари, за да докладва за констатациите си. Към момента на публикуване на тази публикация в Ars, нито една от най-очевидните уязвимости не е отстранена, оставяйки хиляди клиентски мрежи в риск.

на 41 страници Доклад за разкриване на информация за сигурността (PDF) изследователите на modzero написаха:

Въпреки че оперативните характеристики на тази продуктова линия са интересни, modzero не препоръчва използването на тези продукти, докато не бъдат въведени ефективни мерки. Мрежовите и Bluetooth функциите не могат да бъдат изключени напълно. Дори самостоятелна употреба, при която Meeting Owl служи само като USB камера, не се препоръчва. Нападателите в близост до Bluetooth могат да активират мрежова връзка и да получат достъп до критични IPC канали.

В изявление служителите на Owl Labs написаха:

Owl Labs се отнася сериозно към сигурността: Имаме екипи, посветени на внедряването на непрекъснати актуализации, за да направим нашата конференция по-интелигентна и да коригираме пропуски и грешки в сигурността, със специфични процеси за изпращане на актуализации към устройствата Owl.

Пускаме актуализации ежемесечно и много от опасенията за сигурността, описани в оригиналната статия, вече са разгледани и ще започнат да се разпространяват следващата седмица.

Owl Labs приема тези уязвимости много сериозно. Доколкото ни е известно, не е имало нарушение на сигурността на клиента. Или вече сме разгледали, или сме в процес на разглеждане на другите въпроси, повдигнати в доклада за изследването.

Ето конкретните актуализации, които правим за справяне с уязвимостите, които ще бъдат налични през юни 2022 г. и ще бъдат внедрени от утре:

• RESTful API за извличане на PII данни вече няма да е възможно
• Прилагайте ограничения на услугата MQTT за защитени IoT връзки
• Премахване на достъпа до лични данни от предишен собственик в потребителския интерфейс при преместване на устройство от един акаунт в друг
• Ограничете достъпа или премахнете достъпа за експозиция до порта на разпределителното табло
• Поправка за режим на Wi-Fi AP Tethering