دستگاه کنفرانس ویدیویی Meeting Owl که توسط دولت ها استفاده می شود یک فاجعه امنیتی است

بزرگنمایی (اعتبار: آزمایشگاه جغد)

Meeting Owl Pro یک دستگاه ویدئو کنفرانس با مجموعه‌ای از دوربین‌ها و میکروفون‌ها است که ویدیو و صدا 360 درجه ضبط می‌کند و به‌طور خودکار روی بلندگو تمرکز می‌کند تا جلسات را پویاتر و فراگیرتر کند. این کنسول‌ها که کمی بلندتر از الکسای آمازون هستند و شبیه جغد درختی هستند، به طور گسترده توسط دولت‌های ایالتی و محلی، کالج‌ها و شرکت‌های حقوقی استفاده می‌شوند.

یک تجزیه و تحلیل امنیتی اخیراً منتشر شده به این نتیجه رسید که این دستگاه ها برای شبکه هایی که به آنها متصل می شوند و اطلاعات شخصی کسانی که آنها را ثبت و مدیریت می کنند، خطر غیرقابل قبولی دارند. مجموعه ای از نقاط ضعف شامل:

• نمایش نام‌ها، آدرس‌های ایمیل، آدرس‌های IP و مکان‌های جغرافیایی همه کاربران Meeting Owl Pro در یک پایگاه داده آنلاین که برای هر کسی که از نحوه عملکرد سیستم مطلع است قابل دسترسی است. از این داده ها می توان برای نقشه توپولوژی های شبکه یا مهندسان اجتماعی یا کارمندان Dox استفاده کرد.
• این دستگاه برای هر کسی که به آن دسترسی دارد کانال ارتباطی بین فرآیندی یا IPC را که برای تعامل با سایر دستگاه‌های موجود در شبکه استفاده می‌کند، ارائه می‌کند. این اطلاعات ممکن است توسط خودی های مخرب یا هکرهایی که از برخی از آسیب پذیری های کشف شده در طول تجزیه و تحلیل سوء استفاده می کنند استفاده شود.
• عملکرد بلوتوث، طراحی شده برای گسترش دامنه دستگاه ها و ارائه یک کنترل از راه دور به طور پیش فرض، از رمز عبور استفاده نمی کند، که به هکر اجازه می دهد دستگاه های اطراف را کنترل کند. حتی زمانی که رمز عبور اختیاری است، هکر می‌تواند آن را بدون نیاز به ارائه آن غیرفعال کند.
• یک حالت نقطه دسترسی که یک SSID Wi-Fi جدید ایجاد می کند در حالی که از یک SSID جداگانه برای متصل ماندن به شبکه سازمان استفاده می کند. با استفاده از عملکرد Wi-Fi یا بلوتوث، مهاجم می‌تواند دستگاه Meeting Owl Pro را به خطر بیاندازد و سپس از آن به عنوان یک نقطه دسترسی متقلبانه استفاده کند که داده‌ها یا بدافزارها را در داخل یا خارج از شبکه نفوذ یا فیلتر می‌کند.
• تصاویر جلسات ضبط شده بر روی تخته سفید – که قرار است فقط برای شرکت کنندگان جلسه در دسترس باشد – توسط هر کسی که نحوه عملکرد سیستم را می داند قابل دانلود است.

آسیب پذیری های آشکار حل نشده باقی می مانند

محققان در modzero، یک شرکت مشاوره امنیتی در سوئیس و آلمان که تست نفوذ، مهندسی معکوس، تجزیه و تحلیل کد منبع و ارزیابی ریسک را برای مشتریان خود انجام می دهد، هنگام تجزیه و تحلیل راه حل های کنفرانس ویدیویی از طرف یک مشتری ناشناس، متوجه این تهدیدات شدند. این شرکت برای اولین بار در اواسط ژانویه با شرکت جغد ساز Meeting Owl Labs در سامرویل، ماساچوست تماس گرفت تا یافته های خود را به طور خصوصی گزارش کند. تا زمانی که این پست به صورت زنده در Ars منتشر شد، هیچ یک از واضح ترین آسیب پذیری ها برطرف نشده بود و هزاران شبکه مشتری را در معرض خطر قرار می داد.