Исследователи из Modzero в середине января обнаружили уязвимости в устройстве для видеоконференций Meeting Owl Pro , которые ставят под угрозу конфиденциальность клиентов Owl Labs. Недавно опубликованный анализ безопасности показал, что Meeting Owl Pro представляет риск для сетей и личной информации пользователей. Список недостатков включает в себя:
Раскрытие имен, адресов электронной почты, IP-адресов и местоположения всех пользователей из базы данных, к которой киберпреступник может получить доступ;
Устройство предоставляет доступ к каналу межпроцессного взаимодействия (inter-process communication, IPC), которое используется для подключения к другим устройствам в сети;
Bluetooth по умолчанию не использует код доступа и позволяет хакеру управлять устройствами;
С помощью Wi-Fi или Bluetooth злоумышленник может скомпрометировать устройство и использовать его в качестве точки доступа Wi-Fi, чтобы внедрить вредоносное ПО в сеть;
«Используя уязвимости, злоумышленник может найти зарегистрированные устройства и их владельцев со всего мира. Злоумышленник также может получить доступ к конфиденциальным скриншотам доски из конференции. Защиту PIN кодом злоумышленник может обойти как минимум четырьмя различными способами», — написали
исследователи
«Мы серьезно относимся к устранению уязвимостей. Насколько нам известно, нарушений безопасности клиентов никогда не было. Мы либо уже рассмотрели, либо находимся в процессе рассмотрения проблем, указанных в исследовательском отчете», — ответили представители Owl Labs.
Ниже приведены конкретные обновления, которые будут доступны в июне 2022 года:
RESTful API для получения PII данных больше не будет осуществляться;
Ограничены службы MQTT для защиты IoT-коммуникаций.
Отклонение доступа к PII от предыдущего владельца при переносе устройства с одной учетной записи на другую;
Ограничение доступа к порту коммутатора;
Исправление для режима модема Wi-Fi.
Modzero не рекомендует использовать Meeting Owl Pro до исправления проблем. Однако, функции Wi-Fi и Bluetooth нельзя отключить полностью. Злоумышленник в непосредственной близости от Bluetooth может активировать сетевое соединение и получить доступ к важным IPC каналам. Сеть Meeting Owl Pro не должна иметь доступа к внутренней инфраструктуре компании.
Meeting Owl Pro — это устройство для видеоконференций
с множеством камер и микрофонов, которое захватывает 360-градусное видео и
автоматически фокусируется на спикере, чтобы сделать собрания более динамичными.
Устройство широко используется госучреждениями, колледжами и юридическими
фирмами.
Источник: SecurityLab