Δημιουργήστε έσοδα από τα ιστολόγια και τα gadget σας: Συμβουλές ειδικών SEO, μέσων κοινωνικής δικτύωσης και μάρκετινγκ συνεργατών

Το Meeting Owl που σας προσέχει επίσης διαρρέει τα δεδομένα σας

Το Meeting Owl που σας προσέχει επίσης διαρρέει τα δεδομένα σας

Το Owl Labs’ Meeting Owl Pro είναι μια συσκευή τηλεδιάσκεψης με πολλές δυνατότητες και αρκετές ευπάθειες ασφαλείας που θέτουν σε κίνδυνο τους οργανισμούς που χρησιμοποιούν τη συσκευή. Μια ανάλυση ασφαλείας της συσκευής από την εταιρεία συμβούλων ασφαλείας Modzero αποκαλύπτει ελαττώματα ασφαλείας που επιτρέπουν στους φορείς απειλών να έχουν πρόσβαση στα δεδομένα που αποστέλλονται μέσω της συσκευής.

Τα ελαττώματα ανακαλύφθηκαν όταν η εταιρεία πραγματοποίησε ανάλυση ασφαλείας συσκευών τηλεδιάσκεψης για έναν πελάτη που δεν κατονομάστηκε. Τον Ιανουάριο, η εταιρεία επικοινώνησε με την Owl Labs σχετικά με αυτά τα ελαττώματα, αλλά καμία από τις πιο σοβαρές ευπάθειες δεν έχει επιδιορθωθεί ακόμη.

Στα Νέα: Atlassian Confluence κρίσιμη 0-ημέρα: Η εταιρεία συνιστά την απενεργοποίηση της εφαρμογής

Αρχικά, τα ονόματα, οι διευθύνσεις email, οι διευθύνσεις IP και οι γεωγραφικές τοποθεσίες όλων των χρηστών του Meeting Owl Pro αποθηκεύονται σε μια ηλεκτρονική βάση δεδομένων στην οποία είναι προσβάσιμη μόνο ένας έγκυρος σειριακός αριθμός του Meeting Owl, χωρίς να απαιτείται κωδικός πρόσβασης.

Υπάρχει μια ενσωματωμένη λειτουργία Bluetooth για την επέκταση της εμβέλειας της συσκευής και την παροχή τηλεχειρισμού, αλλά δεν χρησιμοποιεί κωδικό πρόσβασης από προεπιλογή. Ακόμη και όταν έχει οριστεί ένας κωδικός πρόσβασης (προαιρετικά), οι εισβολείς μπορούν να τον απενεργοποιήσουν χρησιμοποιώντας τουλάχιστον τέσσερις διαφορετικές προσεγγίσεις.

Ανάγνωση:  Πώς να επανεκκινήσετε ή να απενεργοποιήσετε το iPhone 15

Η συσκευή μπορεί επίσης να λειτουργήσει ως επέκταση WiFi παρέχοντας ξεχωριστό SSID WiFi ενώ χρησιμοποιεί ένα άλλο SSID για να παραμένει συνδεδεμένη στο δίκτυο του οργανισμού. Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτή τη λειτουργία για να μετατρέψει τη συσκευή σε ένα αδίστακτο σημείο πρόσβασης για να κλέψει δεδομένα ή να εισαγάγει κακόβουλο λογισμικό στο κεντρικό δίκτυο.

Τελευταίο αλλά εξίσου σημαντικό, οι εικόνες των συνεδριών του λευκού πίνακα, κάτι που υποτίθεται ότι είναι διαθέσιμο μόνο στους συμμετέχοντες στη σύσκεψη, μπορούν να έχουν πρόσβαση σε οποιονδήποτε. Ωστόσο, τον Μάρτιο, η Owl Labs απενεργοποίησε αυτήν τη δυνατότητα αφού έλαβε την αναφορά του Modzero.

Ενώ τα CVE ID εξακολουθούν να εκκρεμούν, τα τρωτά σημεία έχουν λάβει τις βαθμολογίες σοβαρότητάς τους.

Τρωτό Βαθμολογία CVSS Αναγνωριστικό CVE
Ενσωματωμένος κωδικός κερκόπορτας 9.3 εκκρεμής
Δεν απαιτείται κωδικός πρόσβασης για εντολές Bluetooth 8.2 εκκρεμής
Η λειτουργία Tethering χρησιμοποιεί διαπιστευτήρια με σκληρό κώδικα 7.4 εκκρεμής
Οι κωδικοί πρόσβασης μπορούν να απενεργοποιηθούν χωρίς έλεγχο ταυτότητας 7.4 εκκρεμής
Ο κατακερματισμός του κωδικού πρόσβασης μπορεί να ληφθεί μέσω Bluetooth 7.4 εκκρεμής

Οι εισβολείς μπορούν να εκμεταλλευτούν όλα αυτά τα τρωτά σημεία για να βρουν καταχωρημένες συσκευές, τα δεδομένα που διέρχονται από αυτές και τους κατόχους τους και να αποκτήσουν πρόσβαση στα δίκτυα στα οποία είναι συνδεδεμένες αυτές οι συσκευές εξ αποστάσεως. Οι επιθέσεις μπορούν να εκτελεστούν μέσω του Διαδικτύου ή με το να βρίσκεστε κοντά στη συσκευή και μπορούν να χρησιμοποιηθούν για κοινωνικούς μηχανικούς ή υπαλλήλους Dox.

Ανάγνωση:  WoW The War Within: Evoker

Η Owl Labs δημοσίευσε μια δήλωση που αναγνωρίζει τα τρωτά σημεία και δήλωσε ότι είτε έχει ήδη είτε εργάζεται για να διορθώσει τα κενά που επισημαίνονται στην 41-σελίδα του Modzero έκθεση ανάλυσης ασφάλειας προσθέτοντας ότι από όσο γνωρίζει, δεν έχουν σημειωθεί ακόμη «παραβιάσεις της ασφάλειας των πελατών».

Η εταιρεία δήλωσε περαιτέρω ότι πραγματοποιεί συγκεκριμένες ενημερώσεις για να αντιμετωπίσει τα ακόλουθα τρωτά σημεία.

  • Οι Προσωπικές πληροφορίες ταυτοποίησης δεν θα είναι πλέον διαθέσιμες από ένα RESTful API.
  • Περιορισμοί υπηρεσιών MQTT που θα εφαρμοστούν για την ασφάλεια των επικοινωνιών IoT.
  • Οι προηγούμενοι κάτοχοι δεν θα έχουν πλέον πρόσβαση σε στοιχεία προσωπικής ταυτοποίησης όταν μια συσκευή μεταφέρεται από έναν λογαριασμό σε άλλο.
  • Η πρόσβαση στην έκθεση στη θύρα του πίνακα διανομής είτε θα περιοριστεί είτε θα καταργηθεί εντελώς.
  • Διορθώσεις για τη λειτουργία σύνδεσης WiFi AP.

Αυτές οι ενημερώσεις αναμένεται να είναι διαθέσιμες τον Ιούνιο του 2022.

Στις Ειδήσεις: Το DOJ χρεώνει πρώην στέλεχος της OpenSea για συναλλαγές εμπιστευτικών πληροφοριών