El dispositivo de videoconferencia Meeting Owl utilizado por los gobiernos es un desastre de seguridad

Heaven32 Comments
El dispositivo de videoconferencia Meeting Owl utilizado por los gobiernos es un desastre de seguridad
El dispositivo de videoconferencia Meeting Owl utilizado por los gobiernos es un desastre de seguridad

Laboratorios de búhos

Meeting Owl Pro es un dispositivo de videoconferencia con una variedad de cámaras y micrófonos que captura video y audio de 360 ​​grados y se enfoca automáticamente en quien está hablando para hacer que las reuniones sean más dinámicas e inclusivas. Las consolas, que son un poco más altas que una Amazon Alexa y tienen la apariencia de un búho de árbol, son ampliamente utilizadas por gobiernos estatales y locales, universidades y bufetes de abogados.

Un análisis de seguridad publicado recientemente concluyó que los dispositivos representan un riesgo inaceptable para las redes a las que se conectan y la información personal de quienes los registran y administran. La letanía de debilidades incluye:

  • La exposición de nombres, direcciones de correo electrónico, direcciones IP y ubicaciones geográficas de todos los usuarios de Meeting Owl Pro en una base de datos en línea a la que puede acceder cualquier persona con conocimiento de cómo funciona el sistema. Estos datos se pueden explotar para mapear topologías de red o ingeniería social o empleados dox.
  • El dispositivo proporciona a cualquiera que tenga acceso a él la canal de comunicación entre procesos, o IPC, se utiliza para interactuar con otros dispositivos en la red. Esta información puede ser explotada por personas internas maliciosas o piratas informáticos que aprovechan algunas de las vulnerabilidades encontradas durante el análisis.
  • La funcionalidad Bluetooth diseñada para ampliar la gama de dispositivos y proporcionar control remoto de forma predeterminada no utiliza código de acceso, lo que hace posible que un pirata informático en las proximidades controle los dispositivos. Incluso cuando se establece opcionalmente un código de acceso, el pirata informático puede desactivarlo sin tener que proporcionarlo primero.
  • Un modo de punto de acceso que crea un nuevo SSID Wi-Fi mientras usa un SSID separado para mantenerse conectado a la red de la organización. Al explotar las funcionalidades de Wi-Fi o Bluetooth, un atacante puede comprometer el dispositivo Meeting Owl Pro y luego usarlo como un punto de acceso no autorizado que infiltra o extrae datos o malware dentro o fuera de la red.
  • Las imágenes de las sesiones de pizarra capturadas, que se supone que solo están disponibles para los participantes de la reunión, pueden ser descargadas por cualquier persona que comprenda cómo funciona el sistema.

Las vulnerabilidades evidentes siguen sin parchear

Los investigadores de modzero, una consultora de seguridad con sede en Suiza y Alemania que realiza pruebas de penetración, ingeniería inversa, análisis de código fuente y evaluación de riesgos para sus clientes, descubrieron las amenazas mientras realizaban un análisis de soluciones de videoconferencia en nombre de un cliente anónimo. La firma se puso en contacto por primera vez con el fabricante de Meeting Owl Owl Labs de Somerville, Massachusetts, a mediados de enero para informar en privado sobre sus hallazgos. En el momento en que se publicó esta publicación en Ars, ninguna de las vulnerabilidades más evidentes se había solucionado, lo que dejó en riesgo a miles de redes de clientes.

en 41 paginas informe de divulgación de seguridad (PDF) los investigadores de modzero escribieron:

Si bien las características operativas de esta línea de productos son interesantes, modzero no recomienda el uso de estos productos hasta que se apliquen medidas efectivas. Las funciones de red y Bluetooth no se pueden desactivar por completo. Incluso no se sugiere un uso independiente, donde Meeting Owl solo actúa como una cámara USB. Los atacantes dentro del rango de proximidad de Bluetooth pueden activar la comunicación de red y acceder a canales IPC críticos.

En un comunicado, los funcionarios de Owl Labs escribieron:

Owl Labs se toma la seguridad en serio: contamos con equipos dedicados a implementar actualizaciones constantes para hacer que nuestros Meeting Owls sean más inteligentes y corregir fallas y errores de seguridad, con procesos definidos para enviar actualizaciones a los dispositivos Owl.

Publicamos actualizaciones mensualmente, y muchos de los problemas de seguridad destacados en el artículo original ya se han abordado y comenzarán a implementarse la próxima semana.

Owl Labs se toma en serio estas vulnerabilidades. Hasta donde sabemos, nunca ha habido violaciones de seguridad de los clientes. Ya hemos abordado o estamos en proceso de abordar otros puntos planteados en el informe de investigación.

A continuación se encuentran las actualizaciones específicas que estamos realizando para abordar las vulnerabilidades de seguridad, que estarán disponibles en junio de 2022 y se implementarán a partir de mañana:

  • La API RESTful para recuperar datos PII ya no será posible
  • Implemente restricciones de servicio MQTT para proteger las comunicaciones de IoT
  • Eliminar el acceso a la PII de un propietario anterior en la interfaz de usuario al transferir un dispositivo de una cuenta a otra
  • Limitar el acceso o eliminar el acceso a la exposición del puerto de la centralita
  • Arreglo para el modo de anclaje de Wi-Fi AP

Leave a Reply

Your email address will not be published. Required fields are marked *