Peranti persidangan video Owl yang digunakan oleh kerajaan adalah bencana keselamatan

Makmal Burung Hantu

Meeting Owl Pro ialah peranti persidangan video dengan pelbagai kamera dan mikrofon yang merakam video dan audio 360 darjah dan secara automatik memfokus kepada sesiapa sahaja yang bercakap untuk menjadikan mesyuarat lebih dinamik dan inklusif. Konsol, yang lebih tinggi sedikit daripada Amazon Alexa dan menyerupai burung hantu pokok, digunakan secara meluas oleh kerajaan negeri dan tempatan, kolej dan firma undang-undang.

Analisis keselamatan yang diterbitkan baru-baru ini telah menyimpulkan bahawa peranti menimbulkan risiko yang tidak boleh diterima kepada rangkaian yang mereka sambungkan dan maklumat peribadi mereka yang mendaftar dan mentadbirnya. Litani kelemahan termasuk:

  • Pendedahan nama, alamat e-mel, alamat IP dan lokasi geografi semua pengguna Meeting Owl Pro dalam pangkalan data dalam talian yang boleh diakses oleh sesiapa sahaja yang mempunyai pengetahuan tentang cara sistem berfungsi. Data ini boleh dieksploitasi untuk memetakan topologi rangkaian atau jurutera sosial atau pekerja dox.
  • Peranti ini memberikan sesiapa sahaja akses kepadanya dengan saluran komunikasi antara proses, atau IPC, ia gunakan untuk berinteraksi dengan peranti lain pada rangkaian. Maklumat ini boleh dieksploitasi oleh orang dalam atau penggodam yang berniat jahat yang mengeksploitasi beberapa kelemahan yang ditemui semasa analisis
  • Kefungsian Bluetooth direka untuk memanjangkan julat peranti dan menyediakan alat kawalan jauh secara lalai tidak menggunakan kod laluan, membolehkan penggodam yang berdekatan mengawal peranti tersebut. Walaupun kod laluan ditetapkan secara pilihan, penggodam boleh melumpuhkannya tanpa perlu membekalkannya terlebih dahulu.
  • Mod pusat akses yang mencipta SSID Wi-Fi baharu semasa menggunakan SSID yang berasingan untuk terus bersambung ke rangkaian organisasi. Dengan mengeksploitasi kefungsian Wi-Fi atau Bluetooth, penyerang boleh menjejaskan peranti Meeting Owl Pro dan kemudian menggunakannya sebagai pusat akses penyangak yang menyusup atau mengeluarkan data atau perisian hasad ke dalam atau keluar daripada rangkaian.
  • Imej sesi papan putih yang ditangkap—yang sepatutnya tersedia hanya untuk peserta mesyuarat—boleh dimuat turun oleh sesiapa sahaja yang memahami cara sistem berfungsi.

Kelemahan yang mencolok kekal tidak dapat diatasi

Penyelidik dari modzero, perunding keselamatan yang berpangkalan di Switzerland dan Jerman yang menjalankan ujian penembusan, kejuruteraan terbalik, analisis kod sumber dan penilaian risiko untuk pelanggannya, menemui ancaman semasa menjalankan analisis penyelesaian persidangan video bagi pihak pelanggan yang tidak dinamakan. Firma itu mula-mula menghubungi Meeting Owl-maker Owl Labs of Somerville, Massachusetts, pada pertengahan Januari untuk melaporkan secara peribadi penemuan mereka. Pada masa siaran ini disiarkan secara langsung di Ars, tiada satu pun kelemahan yang paling ketara telah diperbaiki, menyebabkan beribu-ribu rangkaian pelanggan berisiko.

Dalam 41 muka surat laporan pendedahan keselamatan (PDF) penyelidik modzero menulis:

Walaupun ciri operasi barisan produk ini menarik, modzero tidak mengesyorkan menggunakan produk ini sehingga langkah yang berkesan digunakan. Ciri rangkaian dan Bluetooth tidak boleh dimatikan sepenuhnya. Malah penggunaan kendiri, di mana Meeting Owl hanya bertindak sebagai kamera USB, tidak dicadangkan. Penyerang dalam julat kedekatan Bluetooth boleh mengaktifkan komunikasi rangkaian dan mengakses saluran IPC kritikal.

Dalam satu kenyataan, pegawai Owl Labs menulis:

Owl Labs mengambil serius tentang keselamatan: Kami mempunyai pasukan yang berdedikasi untuk melaksanakan kemas kini berterusan untuk menjadikan Meeting Owls kami lebih bijak dan untuk membetulkan kelemahan dan pepijat keselamatan, dengan proses yang ditentukan untuk menolak kemas kini pada peranti Owl.

Kami mengeluarkan kemas kini setiap bulan, dan banyak kebimbangan keselamatan yang diserlahkan dalam artikel asal telah pun ditangani dan akan mula dilancarkan minggu depan.

Owl Labs memandang serius kelemahan ini. Sepanjang pengetahuan kami, tidak pernah berlaku sebarang pelanggaran keselamatan pelanggan. Kami sama ada telah menangani, atau sedang dalam proses menangani perkara lain yang dibangkitkan dalam laporan penyelidikan.

Di bawah ialah kemas kini khusus yang kami buat untuk menangani kelemahan keselamatan, yang akan tersedia pada Jun 2022 dan dilaksanakan mulai esok:

  • API RESTful untuk mendapatkan semula data PII tidak akan dapat dilakukan lagi
  • Laksanakan sekatan perkhidmatan MQTT untuk menjamin komunikasi IoT
  • Mengalih keluar akses kepada PII daripada pemilik sebelumnya dalam UI apabila memindahkan peranti daripada satu akaun ke akaun yang lain
  • Mengehadkan akses atau mengalih keluar akses kepada pendedahan port papan suis
  • Betulkan untuk mod penambatan AP Wi-Fi

We would love to say thanks to the author of this post for this amazing material

Peranti persidangan video Owl yang digunakan oleh kerajaan adalah bencana keselamatan


Our social media profiles here and other related pages herehttps://paw6.info/related-pages/