Meeting Owl Pro, 360 derece video ve ses yakalayan ve toplantıları daha dinamik ve kapsayıcı hale getirmek için konuşan kişiye otomatik olarak odaklanan bir dizi kamera ve mikrofona sahip bir video konferans cihazıdır. Bir Amazon Alexa’dan biraz daha uzun olan ve bir ağaç baykuşuna benzeyen konsollar, eyalet ve yerel yönetimler, kolejler ve hukuk firmaları tarafından yaygın olarak kullanılmaktadır.
Yakın zamanda yayınlanan bir güvenlik analizi, cihazların bağlandıkları ağlar ve bunları kaydeden ve yönetenlerin kişisel bilgileri için kabul edilemez bir risk oluşturduğu sonucuna varmıştır. Zayıf yönlerin litanisi şunları içerir:
- Tüm Meeting Owl Pro kullanıcılarının adlarının, e-posta adreslerinin, IP adreslerinin ve coğrafi konumlarının, sistemin nasıl çalıştığına dair bilgisi olan herkes tarafından erişilebilen çevrimiçi bir veritabanında gösterilmesi. Bu veriler, ağ topolojilerini veya sosyal mühendislik veya dox çalışanlarını haritalamak için kullanılabilir.
- Cihaz, ağdaki diğer cihazlarla etkileşim kurmak için kullandığı işlemler arası iletişim kanalı veya IPC ile herkesin kendisine erişmesini sağlar. Bu bilgiler, analiz sırasında bulunan bazı güvenlik açıklarından yararlanan kötü niyetli kişiler veya bilgisayar korsanları tarafından kullanılabilir.
- Cihaz aralığını genişletmek ve varsayılan olarak uzaktan kontrol sağlamak için tasarlanan Bluetooth işlevi, parola kullanmaz, bu da yakınlardaki bir bilgisayar korsanının cihazları kontrol etmesini mümkün kılar. İsteğe bağlı olarak bir parola ayarlansa bile, bilgisayar korsanı önce parolayı sağlamak zorunda kalmadan parolayı devre dışı bırakabilir.
- Kuruluş ağına bağlı kalmak için ayrı bir SSID kullanırken yeni bir Wi-Fi SSID oluşturan bir erişim noktası modu. Saldırgan, Wi-Fi veya Bluetooth işlevlerinden yararlanarak Meeting Owl Pro cihazının güvenliğini ihlal edebilir ve ardından onu, ağa veya ağın dışına veri veya kötü amaçlı yazılım sızdıran veya sızdıran sahte bir erişim noktası olarak kullanabilir.
- Yalnızca toplantı katılımcılarına açık olması gereken, yakalanan beyaz tahta oturumlarının görüntüleri, sistemin nasıl çalıştığını anlayan herkes tarafından indirilebilir.
Göz kamaştırıcı güvenlik açıkları yamasız kalır
Müşterileri için penetrasyon testi, tersine mühendislik, kaynak kodu analizi ve risk değerlendirmesi yapan İsviçre ve Almanya merkezli bir güvenlik danışmanlığı olan modzero’dan araştırmacılar, adı açıklanmayan bir müşteri adına video konferans çözümlerinin analizini yaparken tehditleri keşfetti. Firma, bulgularını özel olarak bildirmek için ilk olarak Ocak ayı ortalarında Somerville, Massachusetts’teki Meeting Owl yapımcısı Owl Labs ile temasa geçti. Bu gönderi Ars’ta yayına girdiğinde, en göze çarpan güvenlik açıklarından hiçbiri düzeltilmemişti ve binlerce müşteri ağını riske atmıştı.
41 sayfalık bir güvenlik ifşa raporunda (PDF) modzero araştırmacıları şunları yazdı:
Bu ürün grubunun operasyonel özellikleri ilginç olsa da modzero, etkili önlemler alınana kadar bu ürünlerin kullanılmasını önermemektedir. Ağ ve Bluetooth özellikleri tamamen kapatılamaz. Meeting Owl’un yalnızca bir USB kamera görevi gördüğü bağımsız bir kullanım bile önerilmez. Bluetooth’un yakın menzilindeki saldırganlar ağ iletişimini etkinleştirebilir ve kritik IPC kanallarına erişebilir.
Bir açıklamada, Owl Labs yetkilileri şunları yazdı:
Owl Labs güvenliği ciddiye alır: Owl cihazlarına güncellemeleri göndermek için tanımlanmış süreçlerle, Meeting Owl’larımızı daha akıllı hale getirmek ve güvenlik açıklarını ve hatalarını düzeltmek için sürekli güncellemeleri uygulamaya adamış ekiplerimiz var.
Güncellemeleri aylık olarak yayınlıyoruz ve orijinal makalede vurgulanan güvenlik endişelerinin çoğu zaten ele alındı ve önümüzdeki hafta kullanıma sunulacak.
Owl Labs bu güvenlik açıklarını ciddiye alır. Bildiğimiz kadarıyla, hiçbir zaman herhangi bir müşteri güvenlik ihlali olmadı. Araştırma raporunda dile getirilen diğer noktalara ya değindik ya da değinme sürecindeyiz.
Aşağıda, Haziran 2022’de kullanıma sunulacak ve yarından itibaren uygulanacak olan güvenlik açıklarını gidermek için yaptığımız belirli güncellemeler yer almaktadır:
- PII verilerini almak için RESTful API artık mümkün olmayacak
- IoT iletişimlerini güvence altına almak için MQTT hizmet kısıtlamalarını uygulayın
- Bir cihazı bir hesaptan diğerine aktarırken, kullanıcı arayüzünde önceki bir sahibinden PII’ye erişimi kaldırma
- Erişimin sınırlandırılması veya santral bağlantı noktası maruziyetine erişimin kaldırılması
- Wi-Fi AP tethering modu için düzeltme