About Teletype
Join
The Legion
@the_legion_ru
June 3, 2022

Опасность проведения видеоконференций

Видеокамера содержит опасные уязвимости и ставит под угрозу конфиденциальность сотрудников

Исследователи из Modzero в середине января обнаружили уязвимости в устройстве для видеоконференций Meeting Owl Pro, которые ставят под угрозу конфиденциальность клиентов Owl Labs. Недавно опубликованный анализ безопасности показал, что Meeting Owl Pro представляет риск для сетей и личной информации пользователей. Список недостатков включает в себя:

  • Раскрытие имен, адресов электронной почты, IP-адресов и местоположения всех пользователей из базы данных, к которой киберпреступник может получить доступ;
  • Устройство предоставляет доступ к каналу межпроцессного взаимодействия (inter-process communication, IPC), которое используется для подключения к другим устройствам в сети;
  • Bluetooth по умолчанию не использует код доступа и позволяет хакеру управлять устройствами;
  • С помощью Wi-Fi или Bluetooth злоумышленник может скомпрометировать устройство и использовать его в качестве точки доступа Wi-Fi, чтобы внедрить вредоносное ПО в сеть;

«Используя уязвимости, злоумышленник может найти зарегистрированные устройства и их владельцев со всего мира. Злоумышленник также может получить доступ к конфиденциальным скриншотам доски из конференции. Защиту PIN кодом злоумышленник может обойти как минимум четырьмя различными способами», - написали исследователи

«Мы серьезно относимся к устранению уязвимостей. Насколько нам известно, нарушений безопасности клиентов никогда не было. Мы либо уже рассмотрели, либо находимся в процессе рассмотрения проблем, указанных в исследовательском отчете», - ответили представители Owl Labs.

Ниже приведены конкретные обновления, которые будут доступны в июне 2022 года:

  • RESTful API для получения PII данных больше не будет осуществляться;
  • Ограничены службы MQTT для защиты IoT-коммуникаций.
  • Отклонение доступа к PII от предыдущего владельца при переносе устройства с одной учетной записи на другую;
  • Ограничение доступа к порту коммутатора;
  • Исправление для режима модема Wi-Fi.

Modzero не рекомендует использовать Meeting Owl Pro до исправления проблем. Однако, функции Wi-Fi и Bluetooth нельзя отключить полностью. Злоумышленник в непосредственной близости от Bluetooth может активировать сетевое соединение и получить доступ к важным IPC каналам. Сеть Meeting Owl Pro не должна иметь доступа к внутренней инфраструктуре компании.

Meeting Owl Pro — это устройство для видеоконференций с множеством камер и микрофонов, которое захватывает 360-градусное видео и автоматически фокусируется на спикере, чтобы сделать собрания более динамичными. Устройство широко используется госучреждениями, колледжами и юридическими фирмами.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

The Legion
June 3, 2022, 11:08
0 reactions
0 views