Conhecer a Coruja que cuida de você também vaza seus dados

O Meeting Owl Pro da Owl Labs é um dispositivo de videoconferência com vários recursos e diversas vulnerabilidades de segurança que colocam em risco as organizações que usam o dispositivo. Uma análise de segurança do dispositivo pela empresa de consultoria de segurança Modzero revela falhas de segurança que permitem que os agentes de ameaças acessem os dados enviados através do dispositivo.

As falhas foram descobertas quando a empresa realizou uma análise de segurança de dispositivos de videoconferência para um cliente não identificado. Em janeiro, a empresa contatou a Owl Labs sobre essas falhas, mas nenhuma das vulnerabilidades mais graves foi corrigida ainda.

Nas notícias: Atlassian Confluence crítico dia 0: empresa recomenda desativar o aplicativo

Para começar, os nomes, endereços de e-mail, endereços IP e localizações geográficas de todos os usuários do Meeting Owl Pro são armazenados em um banco de dados online que pode ser acessado apenas por um número de série válido do Meeting Owl, sem necessidade de senha.

Há uma funcionalidade Bluetooth integrada para estender o alcance do dispositivo e fornecer controle remoto, mas não usa senha por padrão. Mesmo quando uma senha é (opcionalmente) definida, os invasores podem desativá-la usando pelo menos quatro abordagens diferentes.

O dispositivo também pode funcionar como um extensor WiFi, fornecendo um SSID WiFi separado enquanto usa outro SSID para permanecer conectado à rede da organização. Um invasor pode explorar essa funcionalidade para transformar o dispositivo em um ponto de acesso não autorizado para roubar dados ou inserir malware na rede host.

Ler:  O sucesso do cliente é o seu sucesso: um scorecard de saúde da conta para maximizar o valor para seus parceiros de marca

Por último, mas não menos importante, as imagens das sessões capturadas no quadro branco, algo que deveria estar disponível apenas para os participantes da reunião, podem ser acessadas por qualquer pessoa. No entanto, em março, o Owl Labs desativou esse recurso após receber o relatório do Modzero.

Embora os IDs CVE ainda estejam pendentes, as vulnerabilidades receberam suas pontuações de gravidade.

Vulnerabilidade Pontuação CVSS ID do CVE
Senha de backdoor codificada 9.3 Pendente
Nenhuma senha é necessária para comandos Bluetooth 8.2 Pendente
O modo tethering usa credenciais codificadas 7.4 Pendente
As senhas podem ser desativadas sem autenticação 7.4 Pendente
O hash da senha pode ser obtido por Bluetooth 7.4 Pendente

Os invasores podem explorar todas essas vulnerabilidades para encontrar dispositivos registrados, os dados que passam por eles e seus proprietários e obter acesso remoto às redes às quais esses dispositivos estão conectados. Os ataques podem ser realizados pela Internet ou perto do dispositivo e podem ser usados ​​para engenharia social ou doxação de funcionários.

Owl Labs publicou uma declaração reconhecendo as vulnerabilidades e afirmou que já corrigiu ou está trabalhando para corrigir as lacunas apontadas nas 41 páginas do Modzero. relatório de análise de segurança acrescentando que, tanto quanto é do seu conhecimento, ainda não houve “violações de segurança do cliente”.

Ler:  Como alterar a hora no Chromebook?

A empresa afirmou ainda que está fazendo atualizações específicas para resolver as seguintes vulnerabilidades.

  • As informações de identificação pessoal não estariam mais disponíveis em uma API RESTful.
  • Restrições de serviço MQTT a serem implementadas para proteger as comunicações IoT.
  • Os proprietários anteriores não teriam mais acesso a informações de identificação pessoal quando um dispositivo fosse transferido de uma conta para outra.
  • O acesso à exposição da porta do painel de distribuição seria limitado ou totalmente removido.
  • Correções para o modo de tethering WiFi AP.

Espera-se que essas atualizações estejam disponíveis em junho de 2022.

Nas notícias: DOJ acusa ex-executivo da OpenSea por uso de informações privilegiadas

Novas publicações:

Recomendação