Опасность проведения видеоконференций

Исследователи из Modzero в середине января обнаружили уязвимости в устройстве для видеоконференций Meeting Owl Pro , которые ставят под угрозу конфиденциальность клиентов Owl Labs. Недавно опубликованный анализ безопасности показал, что Meeting Owl Pro представляет риск для сетей и личной информации пользователей. Список недостатков включает в себя:

• Раскрытие имен, адресов электронной почты, IP-адресов и местоположения всех пользователей из базы данных, к которой киберпреступник может получить доступ;
• Устройство предоставляет доступ к каналу межпроцессного взаимодействия (inter-process communication, IPC), которое используется для подключения к другим устройствам в сети;
• Bluetooth по умолчанию не использует код доступа и позволяет хакеру управлять устройствами;
• С помощью Wi-Fi или Bluetooth злоумышленник может скомпрометировать устройство и использовать его в качестве точки доступа Wi-Fi, чтобы внедрить вредоносное ПО в сеть;

«Используя уязвимости, злоумышленник может найти зарегистрированные устройства и их владельцев со всего мира. Злоумышленник также может получить доступ к конфиденциальным скриншотам доски из конференции. Защиту PIN кодом злоумышленник может обойти как минимум четырьмя различными способами», - написали исследователи

«Мы серьезно относимся к устранению уязвимостей. Насколько нам известно, нарушений безопасности клиентов никогда не было. Мы либо уже рассмотрели, либо находимся в процессе рассмотрения проблем, указанных в исследовательском отчете», - ответили представители Owl Labs.

Ниже приведены конкретные обновления, которые будут доступны в июне 2022 года:

• RESTful API для получения PII данных больше не будет осуществляться;
• Ограничены службы MQTT для защиты IoT-коммуникаций.
• Отклонение доступа к PII от предыдущего владельца при переносе устройства с одной учетной записи на другую;
• Ограничение доступа к порту коммутатора;
• Исправление для режима модема Wi-Fi.

Modzero не рекомендует использовать Meeting Owl Pro до исправления проблем. Однако, функции Wi-Fi и Bluetooth нельзя отключить полностью. Злоумышленник в непосредственной близости от Bluetooth может активировать сетевое соединение и получить доступ к важным IPC каналам. Сеть Meeting Owl Pro не должна иметь доступа к внутренней инфраструктуре компании.

Meeting Owl Pro — это устройство для видеоконференций с множеством камер и микрофонов, которое захватывает 360-градусное видео и автоматически фокусируется на спикере, чтобы сделать собрания более динамичными. Устройство широко используется госучреждениями, колледжами и юридическими фирмами.