Teknisk Marknadsföring, Tjäna pengar på dina Bloggar och Prylar

Möte med Uggla som vakar över dig läcker också din data

Owl Labs’ Meeting Owl Pro är en videokonferensenhet med flera funktioner och flera säkerhetsbrister som sätter organisationer som använder enheten i fara. En säkerhetsanalys av enheten av säkerhetskonsultföretaget Modzero avslöjar säkerhetsbrister som låter hotaktörer komma åt data som skickas via enheten.

Bristerna upptäcktes när företaget utförde en säkerhetsanalys av videokonferensenheter för en icke namngiven klient. I januari kontaktade företaget Owl Labs om dessa brister, men ingen av de allvarligaste sårbarheterna är åtgärdade ännu.

I nyheterna: Atlassian Confluence kritisk 0-dag: Företaget rekommenderar att du inaktiverar appen

Till att börja med lagras namn, e-postadresser, IP-adresser och geografiska platser för alla Meeting Owl Pro-användare i en onlinedatabas som kan nås med bara ett giltigt Meeting Owl-serienummer, utan att lösenord krävs.

Det finns en Bluetooth-funktion inbyggd för att utöka enhetens räckvidd och ge fjärrkontroll, men den använder inte ett lösenord som standard. Även när ett lösenord (valfritt) är inställt kan angripare inaktivera det med minst fyra olika metoder.

Enheten kan också fungera som en WiFi-förlängare som tillhandahåller ett separat WiFi SSID samtidigt som ett annat SSID används för att vara ansluten till organisationens nätverk. En angripare kan utnyttja denna funktion för att förvandla enheten till en falsk åtkomstpunkt för att stjäla data eller infoga skadlig programvara i värdnätverket.

Sist men inte minst, bilder av fångade whiteboardsessioner, något som bara ska vara tillgängligt för mötesdeltagare, kan nås av vem som helst. I mars inaktiverade Owl Labs den här funktionen efter att ha fått Modzeros rapport.

Medan CVE-ID:n fortfarande är oavgjorda, har sårbarheterna fått sina svårighetspoäng.

Sårbarhet CVSS-poäng CVE ID
Hårdkodat lösenord för bakdörr 9.3 I väntan på
Inget lösenord krävs för Bluetooth-kommandon 8.2 I väntan på
Internetdelningsläget använder hårdkodade autentiseringsuppgifter 7.4 I väntan på
Lösenkoder kan avaktiveras utan autentisering 7.4 I väntan på
Lösenords-hash kan hämtas över Bluetooth 7.4 I väntan på

Angripare kan utnyttja alla dessa sårbarheter för att hitta registrerade enheter, data som går genom dem och deras ägare och få åtkomst till nätverken som dessa enheter är anslutna till på distans. Attacker kan utföras över internet eller genom att vara nära enheten och kan användas för att socialt konstruera eller doxa anställda.

Läsa:  Fördelar med en kunddataplattform inom marknadsföring

Owl Labs publicerade ett uttalande som erkände sårbarheterna och uppgav att de antingen redan har eller arbetar på att fixa kryphålen som påpekades i Modzeros 41-sida säkerhetsanalysrapport och tillägger att såvitt den vet har det inte funnits några “kundsäkerhetsintrång” ännu.

Företaget uppgav vidare att det gör specifika uppdateringar för att åtgärda följande sårbarheter.

  • Personligt identifierbar information skulle inte längre vara tillgänglig från ett RESTful API.
  • MQTT-tjänstrestriktioner ska implementeras för att säkra IoT-kommunikation.
  • Tidigare ägare skulle inte längre ha tillgång till personligt identifierbar information när en enhet överförs från ett konto till ett annat.
  • Tillgången till exponering för växelportar skulle antingen begränsas eller tas bort helt.
  • Fixar för internetdelningsläget för WiFi AP.

Dessa uppdateringar förväntas bli tillgängliga i juni 2022.

I nyheterna: DOJ anklagar före detta OpenSea-chef för insiderhandel