政府が使用するOwlビデオ会議デバイスとの出会いはセキュリティ上の災害です

フクロウラボ

Meeting Owl Proは、360度のビデオとオーディオをキャプチャし、話している人に自動的に焦点を合わせて会議をよりダイナミックで包括的なものにする、一連のカメラとマイクを備えたビデオ会議デバイスです。 アマゾンアレクサより少し背が高く、フクロウに似たコンソールは、州や地方自治体、大学、法律事務所で広く使用されています。

最近公開されたセキュリティ分析では、デバイスが接続するネットワークと、デバイスを登録および管理するユーザーの個人情報に許容できないリスクをもたらすと結論付けています。 弱点の連祷には以下が含まれます:

  • システムの動作を知っている人なら誰でもアクセスできるオンラインデータベース内のすべてのMeetingOwlProユーザーの名前、電子メールアドレス、IPアドレス、および地理的位置の公開。 このデータを利用して、ネットワークトポロジをマッピングしたり、ソーシャルエンジニアやdoxの従業員を利用したりできます。
  • このデバイスは、ネットワーク上の他のデバイスと対話するために使用するプロセス間通信チャネル(IPC)を使用して、誰でもデバイスにアクセスできるようにします。 この情報は、分析中に見つかった脆弱性の一部を悪用する悪意のあるインサイダーまたはハッカーによって悪用される可能性があります
  • デバイスの範囲を拡張し、デフォルトでリモートコントロールを提供するように設計されたBluetooth機能は、パスコードを使用しないため、近くにいるハッカーがデバイスを制御できるようになります。 パスコードがオプションで設定されている場合でも、ハッカーは最初にパスコードを提供しなくてもパスコードを無効にできます。
  • 組織のネットワークへの接続を維持するために別のSSIDを使用しながら、新しいWi-FiSSIDを作成するアクセスポイントモード。 攻撃者はWi-FiまたはBluetooth機能を悪用することで、Meeting Owl Proデバイスを危険にさらし、ネットワークにデータやマルウェアを侵入または侵入させる不正なアクセスポイントとして使用する可能性があります。
  • キャプチャされたホワイトボードセッションの画像(会議の参加者のみが利用できるはずです)は、システムの動作を理解している人なら誰でもダウンロードできます。

明白な脆弱性はパッチされていないままです

スイスとドイツを拠点とするセキュリティコンサルタント会社で、侵入テスト、リバースエンジニアリング、ソースコード分析、クライアントのリスク評価を行うmodzeroの研究者は、名前のない顧客に代わってビデオ会議ソリューションの分析を行いながら、脅威を発見しました。 同社は、1月中旬にマサチューセッツ州サマービルのMeeting Owl-maker Owl Labsに最初に連絡を取り、調査結果を非公開で報告しました。 この投稿がArsで公開された時点では、最も明白な脆弱性は修正されておらず、何千もの顧客ネットワークが危険にさらされています。

41ページのセキュリティ開示レポート(PDF)で、modzeroの研究者は次のように書いています。

この製品ラインの操作上の特徴は興味深いものですが、modzeroは、効果的な対策が適用されるまで、これらの製品の使用を推奨していません。 ネットワークとBluetoothの機能を完全にオフにすることはできません。 Meeting OwlがUSBカメラとしてのみ機能するスタンドアロンの使用法でさえ、推奨されていません。 Bluetoothの近接範囲内にいる攻撃者は、ネットワーク通信をアクティブにして、重要なIPCチャネルにアクセスできます。

声明の中で、OwlLabsの関係者は次のように書いています。

Owl Labsはセキュリティを真剣に受け止めています。MeetingOwlsをよりスマートにし、セキュリティの欠陥やバグを修正するための継続的な更新の実装に専念するチームがあり、Owlデバイスに更新をプッシュするためのプロセスが定義されています。

アップデートは毎月リリースされており、元の記事で強調されているセキュリティ上の懸念の多くはすでに対処されており、来週から展開が開始されます。

Owl Labsは、これらの脆弱性を深刻に受け止めています。 私たちの知る限り、顧客のセキュリティ違反は一度もありません。 調査報告書で提起さ​​れた他の点については、すでに対処しているか、現在対処中です。

以下は、セキュリティの脆弱性に対処するために行っている特定の更新です。これは、2022年6月に利用可能になり、明日から実装されます。

  • PIIデータを取得するためのRESTfulAPIは使用できなくなります
  • IoT通信を保護するためにMQTTサービス制限を実装する
  • あるアカウントから別のアカウントにデバイスを転送するときに、UIの前の所有者からPIIへのアクセスを削除する
  • アクセスを制限するか、配電盤ポートの露出へのアクセスを削除します
  • Wi-FiAPテザリングモードの修正

Leave a Comment

Your email address will not be published.