Rencontrer un appareil de visioconférence hibou utilisé par les arbitres est un désastre en matière de sécurité

Le Meeting Owl Pro est un appareil de visioconférence avec une gamme de caméras et de microphones qui capturent la vidéo et l’audio à 360 degrés et se concentrent automatiquement sur qui parle pour rendre les réunions plus dynamiques et inclusives. Les consoles, qui sont légèrement plus hautes qu’Amazon Alexa et ressemblent à un hibou des arbres, sont largement utilisées par les gouvernements étatiques et locaux, les collèges et les cabinets d’avocats.

Une analyse de sécurité récemment publiée a conclu que les appareils présentent un risque inacceptable pour les réseaux auxquels vous vous connectez et les informations personnelles de ceux qui les enregistrent et les gèrent. L’ensemble des faiblesses comprend :

• Divulguez les noms, adresses e-mail, adresses IP et géolocalisations de tous les utilisateurs de Meeting Owl Pro dans une base de données en ligne accessible à toute personne connaissant le fonctionnement du système. Ces données peuvent être exploitées pour cartographier les topologies du réseau, l’ingénieur social ou les employés dox.
• L’appareil permet à quiconque d’y accéder avec une extension canal de communication interprocessus, ou IPC, est utilisé pour interagir avec d’autres appareils sur le réseau. Ces informations peuvent être exploitées par des initiés malveillants ou des pirates qui exploitent certaines vulnérabilités trouvées lors de l’analyse.
• La fonction Bluetooth conçue pour étendre la gamme d’appareils et fournir un contrôle à distance n’utilise pratiquement aucun mot de passe, ce qui permet à un pirate informatique à proximité de contrôler les appareils. Même lorsqu’un mot de passe facultatif est défini, un pirate peut le désactiver sans avoir à le fournir au préalable.
• Mode point d’accès Crée un nouveau SSID Wi-Fi tout en utilisant un SSID distinct pour rester connecté au réseau de l’organisation. En exploitant la fonctionnalité Wi-Fi ou Bluetooth, un attaquant peut pirater un appareil Meeting Owl Pro, puis l’utiliser comme point d’accès de phishing pour infiltrer ou infiltrer des données ou des logiciels malveillants à l’intérieur ou à l’extérieur du réseau.
• Les images des sessions de tableau blanc capturées, qui sont censées être disponibles uniquement pour les participants à la réunion, peuvent être téléchargées par toute personne connaissant le fonctionnement du système.

Les vulnérabilités criantes restent non corrigées

Des chercheurs de modzero, un cabinet de conseil en sécurité basé en Suisse et en Allemagne qui effectue des tests d’intrusion, de l’ingénierie inverse, une analyse du code source et une évaluation des risques pour ses clients, ont découvert les menaces en effectuant une analyse des solutions de visioconférence pour le compte d’un client anonyme. La société a d’abord contacté le fabricant de réunions Owl-Maker Owl Labs à Somerville, Massachusetts, à la mi-janvier pour faire part de ses conclusions. Au moment où cet article a été publié sur Ars, aucune des vulnérabilités les plus évidentes n’a été corrigée, laissant des milliers de réseaux clients en danger.

sur 41 pages Rapport de divulgation de sécurité (PDF) les chercheurs de modzero ont écrit :

Bien que les caractéristiques opérationnelles de cette gamme de produits soient intéressantes, modzero ne recommande pas l’utilisation de ces produits tant que des mesures efficaces ne sont pas en place. Les fonctions réseau et Bluetooth ne peuvent pas être complètement désactivées. Même une utilisation autonome, où le Meeting Owl sert uniquement de caméra USB, n’est pas suggérée. Les attaquants à proximité de Bluetooth peuvent activer une connexion réseau et accéder aux canaux IPC critiques.

Dans un communiqué, les responsables d’Owl Labs ont écrit :

Owl Labs prend la sécurité au sérieux : nous avons des équipes dédiées à la mise en œuvre de mises à jour continues pour rendre notre salle de réunion plus intelligente et pour corriger les failles et les bogues de sécurité, avec des processus spécifiques pour pousser les mises à jour vers les appareils Owl.

Nous publions des mises à jour tous les mois, et de nombreux problèmes de sécurité décrits dans l’article d’origine ont déjà été résolus et commenceront à être déployés la semaine prochaine.

Owl Labs prend ces vulnérabilités très au sérieux. À notre connaissance, il n’y a pas eu d’atteinte à la sécurité des clients. Nous avons déjà abordé ou sommes en train d’aborder les autres points soulevés dans le rapport de recherche.

Voici les mises à jour spécifiques que nous effectuons pour corriger les vulnérabilités, qui seront disponibles en juin 2022 et seront mises en œuvre à partir de demain :

• L’API RESTful pour récupérer les données PII ne sera plus possible
• Appliquer les restrictions de service MQTT pour sécuriser les connexions IoT
• Supprimer l’accès PII d’un propriétaire précédent dans l’interface utilisateur lors du déplacement d’un appareil d’un compte à un autre
• Restreindre l’accès ou supprimer l’accès à l’exposition au port du standard
• Correction du mode de connexion Wi-Fi AP