Meeting Owl videokonferensenhet som används av myndigheter är en säkerhetskatastrof

Meeting Owl videokonferensenhet som används av myndigheter är en säkerhetskatastrof

Owl Labs

Meeting Owl Pro är en videokonferensenhet med en rad kameror och mikrofoner som fångar 360-graders video och ljud och fokuserar automatiskt på den som talar för att göra möten mer dynamiska och inkluderande. Konsolerna, som är något högre än en Amazon Alexa och liknar en träduggla, används ofta av statliga och lokala myndigheter, högskolor och advokatbyråer.

En nyligen publicerad säkerhetsanalys har kommit fram till att enheterna utgör en oacceptabel risk för nätverken de ansluter till och den personliga informationen för dem som registrerar och administrerar dem. Litanian av svagheter inkluderar:

  • Exponeringen av namn, e-postadresser, IP-adresser och geografiska platser för alla Meeting Owl Pro-användare i en onlinedatabas som kan nås av alla med kunskap om hur systemet fungerar. Dessa data kan utnyttjas för att kartlägga nätverkstopologier eller socialt ingenjörer eller dox-anställda.
  • Enheten ger alla som har tillgång till den med kommunikationskanal mellan processer, eller IPC, den använder för att interagera med andra enheter i nätverket. Denna information kan utnyttjas av illvilliga insiders eller hackare som utnyttjar några av de sårbarheter som hittas under analysen
  • Bluetooth-funktionalitet designad för att utöka utbudet av enheter och tillhandahålla fjärrkontroll som standard använder ingen lösenord, vilket gör det möjligt för en hackare i närheten att kontrollera enheterna. Även när ett lösenord är valfritt inställt kan hackaren inaktivera det utan att först behöva ange det.
  • Ett åtkomstpunktsläge som skapar ett nytt Wi-Fi SSID samtidigt som ett separat SSID används för att vara ansluten till organisationens nätverk. Genom att utnyttja Wi-Fi- eller Bluetooth-funktioner kan en angripare äventyra Meeting Owl Pro-enheten och sedan använda den som en falsk åtkomstpunkt som infiltrerar eller exfiltrerar data eller skadlig programvara in i eller ut ur nätverket.
  • Bilder av fångade whiteboardsessioner – som endast ska vara tillgängliga för mötesdeltagare – kan laddas ner av alla som har en förståelse för hur systemet fungerar.

Uppenbara sårbarheter förblir oparpade

Forskare från modzero, ett Schweiz- och Tysklandsbaserat säkerhetskonsultföretag som utför penetrationstestning, reverse engineering, källkodsanalys och riskbedömning för sina kunder, upptäckte hoten medan de genomförde en analys av videokonferenslösningar på uppdrag av en icke namngiven kund. Företaget kontaktade först Meeting Owl-maker Owl Labs i Somerville, Massachusetts, i mitten av januari för att privat rapportera sina resultat. När det här inlägget gick live på Ars hade ingen av de mest uppenbara sårbarheterna åtgärdats, vilket lämnade tusentals kundnätverk i fara.

På 41 sidor säkerhetsrapport (PDF) modzero-forskarna skrev:

Även om de operativa funktionerna i denna produktlinje är intressanta, rekommenderar modzero inte att dessa produkter används förrän effektiva åtgärder har vidtagits. Nätverks- och Bluetooth-funktionerna kan inte stängas av helt. Inte ens en fristående användning, där mötesugglan bara fungerar som en USB-kamera, föreslås inte. Angripare inom närområdet för Bluetooth kan aktivera nätverkskommunikationen och komma åt kritiska IPC-kanaler.

I ett uttalande skrev Owl Labs tjänstemän:

Owl Labs tar säkerheten på allvar: Vi har team som är dedikerade till att implementera pågående uppdateringar för att göra våra Meeting Owls smartare och att fixa säkerhetsbrister och buggar, med definierade processer för att pusha ut uppdateringar till Owl-enheter.

Vi släpper uppdateringar varje månad, och många av säkerhetsproblemen som lyfts fram i den ursprungliga artikeln har redan åtgärdats och kommer att börja lanseras nästa vecka.

Owl Labs tar dessa sårbarheter på allvar. Så vitt vi vet har det aldrig förekommit några säkerhetsintrång för kunder. Vi har antingen redan tagit upp eller håller på att ta upp andra punkter som tagits upp i forskningsrapporten.

Nedan är de specifika uppdateringarna vi gör för att åtgärda säkerhetsbrister, som kommer att vara tillgängliga i juni 2022 och implementeras från och med imorgon:

  • RESTful API för att hämta PII-data kommer inte längre att vara möjligt
  • Implementera MQTT-tjänstrestriktioner för att säkra IoT-kommunikation
  • Ta bort åtkomst till PII från en tidigare ägare i användargränssnittet när en enhet överförs från ett konto till ett annat
  • Begränsa åtkomst eller ta bort åtkomst till växelportens exponering
  • Fixa för Wi-Fi AP internetdelningsläge

#Meeting #Owl #videokonferensenhet #som #används #myndigheter #är #säkerhetskatastrof

Leave a Comment

Your email address will not be published.