Совиные лаборатории
Встреча с совой Pro — это устройство для видеоконференций с набором камер и микрофонов, которое захватывает 360-градусное видео и аудио и автоматически фокусируется на том, кто говорит, чтобы сделать встречи более динамичными и инклюзивными. Консоли, которые немного выше Amazon Alexa и имеют сходство с древовидной совой, широко используются государственными и местными органами власти, колледжами и юридическими фирмами.
Недавно опубликованный анализ безопасности показал, что устройства представляют неприемлемый риск для сетей, к которым они подключены, и личной информации тех, кто их регистрирует и администрирует. Список недостатков включает в себя:
- Раскрытие имен, адресов электронной почты, IP-адресов и географических местоположений всех участников Meeting Owl. Pro пользователей в онлайновой базе данных, к которой может получить доступ любой, кто знает, как работает система. Эти данные можно использовать для картирования сетевых топологий, социальных инженеров или сотрудников dox.
- Устройство предоставляет любому, кто имеет к нему доступ, канал межпроцессного взаимодействия или IPC, который он использует для взаимодействия с другими устройствами в сети. Эта информация может быть использована злоумышленниками-инсайдерами или хакерами, которые используют некоторые из уязвимостей, обнаруженных в ходе анализа.
- Функциональность Bluetooth, предназначенная для расширения диапазона устройств и обеспечения дистанционного управления, по умолчанию не использует код доступа, что позволяет хакеру, находящемуся поблизости, управлять устройствами. Даже если пароль установлен необязательно, хакер может отключить его без предварительного ввода.
- Режим точки доступа, который создает новый SSID Wi-Fi, используя отдельный SSID, чтобы оставаться на связи с сетью организации. Используя функции Wi-Fi или Bluetooth, злоумышленник может скомпрометировать Meeting Owl. Pro устройство, а затем использовать его в качестве мошеннической точки доступа, которая проникает или эксфильтрирует данные или вредоносное ПО в сеть или из нее.
- Изображения записанных сеансов работы с доской, которые должны быть доступны только участникам собрания, может загрузить любой, кто понимает, как работает система.
Вопиющие уязвимости остаются незакрытыми
Исследователи из modzero, консалтинговой компании по безопасности из Швейцарии и Германии, которая проводит тестирование на проникновение, реверс-инжиниринг, анализ исходного кода и оценку рисков для своих клиентов, обнаружили угрозы, проводя анализ решений для видеоконференцсвязи от имени неназванного клиента. Фирма впервые связалась с производителем Owl Labs из Сомервилля, штат Массачусетс, в середине января, чтобы в частном порядке сообщить о своих выводах. На момент публикации этого поста на Ars ни одна из самых вопиющих уязвимостей не была устранена, в результате чего тысячи клиентских сетей оказались под угрозой.
В 41-страничном отчете о раскрытии информации о безопасности (PDF) исследователи modzero написали:
Хотя эксплуатационные характеристики этой линейки продуктов интересны, modzero не рекомендует использовать эти продукты до тех пор, пока не будут применены эффективные меры. Функции сети и Bluetooth нельзя отключить полностью. Даже автономное использование, когда Meeting Owl действует только как USB-камера, не предлагается. Злоумышленники в непосредственной близости от Bluetooth могут активировать сетевое соединение и получить доступ к важным каналам IPC.
В заявлении официальные лица Owl Labs написали:
Owl Labs серьезно относится к безопасности: у нас есть команды, занимающиеся внедрением текущих обновлений, чтобы сделать наши Meeting Owls более умными, а также устранением недостатков и ошибок безопасности с помощью определенных процессов для отправки обновлений на устройства Owl.
Мы выпускаем обновления ежемесячно, и многие проблемы безопасности, отмеченные в исходной статье, уже устранены и начнут развертываться на следующей неделе.
Owl Labs серьезно относится к этим уязвимостям. Насколько нам известно, нарушений безопасности клиентов никогда не было. Мы либо уже рассмотрели, либо находимся в процессе рассмотрения других вопросов, поднятых в исследовательском отчете.
Ниже приведены конкретные обновления, которые мы вносим для устранения уязвимостей в системе безопасности, которые будут доступны в июне 2022 года и будут внедрены с завтрашнего дня:
- RESTful API для получения данных PII больше не будет возможным
- Внедрите ограничения службы MQTT для защиты IoT-коммуникаций.
- Удаление доступа к PII от предыдущего владельца в пользовательском интерфейсе при переносе устройства с одной учетной записи на другую
- Ограничение доступа или удаление доступа к порту коммутатора
- Исправление для режима модема точки доступа Wi-Fi.
