Laboratoires de hibou
Le Meeting Owl Pro est un appareil de visioconférence avec une gamme de caméras et de microphones qui capture la vidéo et l’audio à 360 degrés et se concentre automatiquement sur la personne qui parle pour rendre les réunions plus dynamiques et inclusives. Les consoles, qui sont légèrement plus hautes qu’une Alexa d’Amazon et ressemblent à un hibou des arbres, sont largement utilisées par les gouvernements étatiques et locaux, les collèges et les cabinets d’avocats.
Une analyse de sécurité récemment publiée a conclu que les appareils présentent un risque inacceptable pour les réseaux auxquels ils se connectent et les informations personnelles de ceux qui les enregistrent et les administrent. La litanie des faiblesses comprend :
- L’exposition des noms, adresses e-mail, adresses IP et emplacements géographiques de tous les utilisateurs de Meeting Owl Pro dans une base de données en ligne accessible à toute personne connaissant le fonctionnement du système. Ces données peuvent être exploitées pour cartographier les topologies du réseau ou faire de l’ingénierie sociale ou des employés dox.
- L’appareil permet à quiconque d’y accéder avec le canal de communication interprocessus, ou IPC, qu’il utilise pour interagir avec d’autres appareils sur le réseau. Ces informations peuvent être exploitées par des initiés malveillants ou des pirates qui exploitent certaines des vulnérabilités trouvées lors de l’analyse
- La fonctionnalité Bluetooth conçue pour étendre la gamme d’appareils et fournir un contrôle à distance par défaut n’utilise aucun mot de passe, ce qui permet à un pirate informatique à proximité de contrôler les appareils. Même lorsqu’un mot de passe est éventuellement défini, le pirate peut le désactiver sans avoir à le fournir au préalable.
- Un mode de point d’accès qui crée un nouveau SSID Wi-Fi tout en utilisant un SSID distinct pour rester connecté au réseau de l’organisation. En exploitant les fonctionnalités Wi-Fi ou Bluetooth, un attaquant peut compromettre l’appareil Meeting Owl Pro, puis l’utiliser comme un point d’accès malveillant qui infiltre ou exfiltre des données ou des logiciels malveillants dans ou hors du réseau.
- Les images des sessions de tableau blanc capturées – qui sont censées être disponibles uniquement pour les participants à la réunion – peuvent être téléchargées par toute personne ayant une compréhension du fonctionnement du système.
Publicité
Des vulnérabilités flagrantes restent non corrigées
Les chercheurs de modzero, un cabinet de conseil en sécurité basé en Suisse et en Allemagne qui effectue des tests d’intrusion, de l’ingénierie inverse, une analyse du code source et une évaluation des risques pour ses clients, ont découvert les menaces en effectuant une analyse des solutions de visioconférence pour le compte d’un client anonyme. L’entreprise a d’abord contacté Owl Labs, le fabricant de Meeting Owl, de Somerville, dans le Massachusetts, à la mi-janvier pour faire part de ses découvertes en privé. Au moment où ce message a été mis en ligne sur Ars, aucune des vulnérabilités les plus flagrantes n’avait été corrigée, laissant des milliers de réseaux clients en danger.
Dans un rapport de divulgation de sécurité de 41 pages (PDF), les chercheurs de modzero ont écrit :
Bien que les caractéristiques opérationnelles de cette gamme de produits soient intéressantes, modzero ne recommande pas d’utiliser ces produits tant que des mesures efficaces ne sont pas appliquées. Les fonctions réseau et Bluetooth ne peuvent pas être complètement désactivées. Même une utilisation autonome, où le Meeting Owl n’agit que comme une caméra USB, n’est pas suggérée. Les attaquants situés à proximité de Bluetooth peuvent activer la communication réseau et accéder aux canaux IPC critiques.
Dans un communiqué, les responsables d’Owl Labs ont écrit :
Owl Labs prend la sécurité au sérieux : nous avons des équipes dédiées à la mise en œuvre de mises à jour continues pour rendre nos Meeting Owls plus intelligents et à la correction des failles et des bogues de sécurité, avec des processus définis pour diffuser les mises à jour sur les appareils Owl.
Nous publions des mises à jour tous les mois, et de nombreux problèmes de sécurité mis en évidence dans l’article d’origine ont déjà été résolus et commenceront à être déployés la semaine prochaine.
Owl Labs prend ces vulnérabilités au sérieux. À notre connaissance, il n’y a jamais eu d’atteinte à la sécurité des clients. Nous avons déjà abordé ou sommes en train d’aborder d’autres points soulevés dans le rapport de recherche.
Vous trouverez ci-dessous les mises à jour spécifiques que nous effectuons pour résoudre les vulnérabilités de sécurité, qui seront disponibles en juin 2022 et mises en œuvre à partir de demain :
- L’API RESTful pour récupérer les données PII ne sera plus possible
- Mettre en œuvre des restrictions de service MQTT pour sécuriser les communications IoT
- Suppression de l’accès aux informations personnelles d’un propriétaire précédent dans l’interface utilisateur lors du transfert d’un appareil d’un compte à un autre
- Limitation de l’accès ou suppression de l’accès à l’exposition des ports du standard
- Correction du mode de connexion Wi-Fi AP