Videoconferentiecamera Meeting Owl door update weer veilig te gebruiken

De videoconferentiecamera Meeting Owl is door een beveiligingsupdate weer veilig door organisaties te gebruiken. Door middel van verschillende kwetsbaarheden was het mogelijk om vertrouwelijke screenshots van whiteboards te bemachtigen of het apparaat te gebruiken om toegang te krijgen tot het netwerk van de eigenaar.

De Meeting Owl is te gebruiken als videoconferentiecamera en te bedienen via een app. De apparaten kunnen via bluetooth en wifi verbinding maken en zijn met name gericht op zakelijke omgevingen. Onderzoekers van modzero ontdekten dat gegevens die klanten tijdens het registreren invoeren en de meest recente verbindingen die daarop volgen in een online database worden opgeslagen.

De gegevens in deze database zijn zonder wachtwoord toegankelijk. De enige vereiste is een geldig serienummer van een Meeting Owl. Door middel van een script zijn alle mogelijke serienummers eenvoudig te genereren. Daarnaast blijkt dat de pin-beveiliging die ongeautoriseerd gebruik van de Owl moet voorkomen op zeker vier verschillende manieren is te omzeilen. Verder vonden de onderzoekers de inloggegevens voor de API-backend van de feature om whiteboards te delen.

Het apparaat is ook als access point (AP) of tethering mode in te stellen. In deze mode routeert de Meeting Owl netwerkverkeer. Het creëert een nieuw wifi-netwerk terwijl het tegelijkertijd met de al geconfigureerde wifi-verbinding verbonden blijft. De AP-mode is via bluetooth door elke geauthenticeerde gebruiker in te schakelen en doordat de Meeting Owl vaste standaard inloggegevens heeft, kan iedereen in de buurt van het apparaat er een rogue wireless gateway tot het bedrijfsnetwerk van maken, zo waarschuwen de onderzoekers. Vanwege de kwetsbaarheden adviseerde modzero om de Meeting Owl-camera’s niet te gebruiken.

Fabrikant Owl Labs werd in januari over de beveiligingslekken ingelicht. Het bedrijf liet weten dat alle problemen halverwege mei verholpen zouden zijn. Aangezien dat niet het geval was besloten de onderzoekers hun bevindingen op 31 mei openbaar te maken. Owl Labs kwam vervolgens op 6 juni met een beveiligingsupdate voor zowel de camera als de Whiteboard Owl. Deze patches worden automatisch geïnstalleerd op camera’s die met wifi verbonden zijn en ’s nachts zijn ingeschakeld.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl