Az Önre vigyázó Találkozó Bagoly szintén kiszivárogtatja az Ön adatait

Az Owl Labs találkozója Az Owl Pro egy videokonferencia-eszköz, amely számos funkcióval és számos biztonsági réssel rendelkezik, amelyek veszélyeztetik az eszközt használó szervezeteket. Az eszköz biztonsági elemzése, amelyet a Modzero biztonsági tanácsadó cég készített, olyan biztonsági hibákat tár fel, amelyek lehetővé teszik a fenyegetés szereplői számára, hogy hozzáférjenek az eszközön keresztül küldött adatokhoz.

A hibákat akkor fedezték fel, amikor a cég elvégezte a videokonferencia-eszközök biztonsági elemzését egy meg nem nevezett ügyfél számára. Januárban a cég felvette a kapcsolatot az Owl Labs-szal ezekkel a hibákkal kapcsolatban, de a legsúlyosabb sebezhetőségeket még nem javították ki.

A hírekben: Atlassian Confluence kritikus 0 nap: A vállalat az alkalmazás letiltását javasolja

Kezdetben a Meeting Owl Pro összes felhasználójának neve, e-mail címe, IP-címe és földrajzi elhelyezkedése egy online adatbázisban van tárolva, amely csak egy érvényes Meeting Owl sorozatszámmal érhető el, jelszó nélkül.

Van egy beépített Bluetooth funkció, amely kiterjeszti az eszköz hatótávját és távirányítót biztosít, de alapértelmezés szerint nem használ jelszót. Még akkor is, ha a jelszó (opcionálisan) be van állítva, a támadók legalább négy különböző megközelítéssel letilthatják azt.

Az eszköz WiFi bővítőként is működhet, amely külön WiFi SSID-t biztosít, miközben egy másik SSID-t használ a szervezet hálózatához való csatlakozáshoz. A támadó kihasználhatja ezt a funkciót, hogy az eszközt szélhámos hozzáférési ponttá alakítsa, hogy adatokat lopjon, vagy rosszindulatú programokat helyezzen be a gazdagép hálózatába.

Végül, de nem utolsósorban, a rögzített tábla-munkamenetek képei, amelyek állítólag csak a találkozó résztvevői számára állnak rendelkezésre, bárki számára elérhetők. Márciusban azonban az Owl Labs letiltotta ezt a funkciót, miután megkapta Modzero jelentését.

Olvasni:  Hiba történt az aktiválás során, próbálja újra: Gyorsjavítás

Míg a CVE-azonosítók még függőben vannak, a sebezhetőségek megkapták a súlyossági pontszámukat.

Sebezhetőség CVSS pontszám CVE azonosító
Kemény kódolt hátsó ajtó jelszó 9.3 Függőben levő
A Bluetooth parancsokhoz nincs szükség jelszóra 8.2 Függőben levő
Az internetmegosztási mód keménykódolt hitelesítő adatokat használ 7.4 Függőben levő
A jelszavak hitelesítés nélkül deaktiválhatók 7.4 Függőben levő
A jelszó-kivonat lekérhető Bluetooth-on keresztül 7.4 Függőben levő

A támadók ezeket a biztonsági réseket kihasználva megkereshetik a regisztrált eszközöket, a rajtuk áthaladó adatokat és tulajdonosaikat, és távolról hozzáférhetnek azokhoz a hálózatokhoz, amelyekhez ezek az eszközök csatlakoznak. A támadások végrehajthatók az interneten keresztül vagy az eszköz közelében, és felhasználhatók szociális tervezésre vagy dox-alkalmazottakra.

Az Owl Labs közzétett egy nyilatkozatot, amelyben elismerte a sebezhetőséget, és kijelentette, hogy vagy már rendelkezik, vagy dolgozik a Modzero 41 oldalas lapjában rámutatott kiskapuk kijavításán. biztonsági elemzési jelentés hozzátéve, hogy legjobb tudomása szerint még nem történt „ügyfélbiztonsági incidens”.

A cég továbbá kijelentette, hogy konkrét frissítéseket hajt végre a következő sebezhetőségek kiküszöbölése érdekében.

  • A személyazonosításra alkalmas adatok többé nem lennének elérhetők a RESTful API-ból.
  • MQTT szolgáltatási korlátozásokat kell megvalósítani az IoT-kommunikáció biztonsága érdekében.
  • A korábbi tulajdonosok többé nem férhettek hozzá a személyazonosításra alkalmas adatokhoz, amikor egy eszközt egyik fiókból a másikba helyeznek át.
  • A kapcsolótábla port-expozíciós hozzáférését korlátoznák, vagy teljesen megszüntetnék.
  • Javítások a WiFi AP internetmegosztási módhoz.

Ezek a frissítések várhatóan 2022 júniusában válnak elérhetővé.

A hírekben: A DOJ bennfentes kereskedelemért díjat számít fel az OpenSea korábbi vezetőjére

Új publikációk:

Ajánlott