O Meeting Owl Pro é um dispositivo de videoconferência com uma variedade de câmeras e microfones que captura vídeo e áudio em 360 graus e foca automaticamente em quem está falando para tornar as reuniões mais dinâmicas e inclusivas. Os consoles, que são um pouco mais altos que um Amazon Alexa e têm a aparência de uma coruja de árvore, são amplamente utilizados por governos estaduais e locais, universidades e escritórios de advocacia.

Uma análise de segurança publicada recentemente concluiu que os dispositivos representam um risco inaceitável para as redes às quais se conectam e para as informações pessoais de quem os registra e gerencia. A litania de fraquezas inclui:

• A exposição de nomes, endereços de e-mail, endereços IP e localizações geográficas de todos os usuários do Meeting Owl Pro em um banco de dados online que pode ser acessado por qualquer pessoa com conhecimento de como o sistema funciona. Esses dados podem ser explorados para mapear topologias de rede ou engenharia social ou funcionários dox.
• O dispositivo fornece a qualquer pessoa que tenha acesso a ele a canal de comunicação entre processos, ou IPC, é usado para interagir com outros dispositivos na rede. Essas informações podem ser exploradas por insiders mal-intencionados ou hackers que aproveitam algumas das vulnerabilidades encontradas durante a verificação.
• A funcionalidade Bluetooth projetada para estender o alcance dos dispositivos e fornecer controle remoto por padrão não usa uma senha, possibilitando que um hacker nas proximidades controle os dispositivos. Mesmo quando um código de acesso é definido opcionalmente, o hacker pode desativá-lo sem precisar fornecê-lo primeiro.
• Um modo de ponto de acesso que cria um novo SSID Wi-Fi enquanto usa um SSID separado para permanecer conectado à rede da organização. Ao explorar os recursos de Wi-Fi ou Bluetooth, um invasor pode comprometer o dispositivo Meeting Owl Pro e usá-lo como um ponto de acesso não autorizado que se infiltra ou extrai dados ou malware dentro ou fora da rede.
• Imagens de sessões de quadro branco capturadas, que deveriam estar disponíveis apenas para os participantes da reunião, podem ser baixadas por qualquer pessoa que entenda como o sistema funciona.

Vulnerabilidades óbvias permanecem sem correção

Pesquisadores da modzero, uma consultoria de segurança com sede na Suíça e na Alemanha que realiza testes de penetração, engenharia reversa, análise de código-fonte e avaliação de risco para seus clientes, descobriram as ameaças ao realizar uma análise de soluções de videoconferência em nome de um cliente anônimo. A empresa entrou em contato pela primeira vez com o fabricante do Meeting Owl Owl Labs de Somerville, Massachusetts, em meados de janeiro para relatar em particular suas descobertas. No momento em que este post do Ars foi publicado, nenhuma das vulnerabilidades mais óbvias havia sido corrigida, deixando milhares de redes de clientes em risco.

em 41 páginas relatório de divulgação de segurança (PDF) pesquisadores do modzero escreveram:

Embora as características operacionais desta linha de produtos sejam interessantes, a modzero não recomenda o uso desses produtos até que medidas efetivas sejam implementadas. As funções de rede e Bluetooth não podem ser completamente desativadas. Mesmo o uso autônomo não é sugerido, onde o Meeting Owl atua apenas como uma câmera USB. Os invasores dentro do alcance de proximidade do Bluetooth podem acionar a comunicação de rede e acessar canais IPC críticos.

Em um comunicado, os funcionários da Owl Labs escreveram:

O Owl Labs leva a segurança muito a sério – temos equipes dedicadas a lançar atualizações contínuas para tornar nossos Meeting Owls mais inteligentes e corrigir falhas e bugs de segurança, com processos definidos para enviar atualizações para dispositivos Owl.

Lançamos atualizações mensalmente, e muitas das preocupações de segurança destacadas no artigo original já foram abordadas e começarão a ser lançadas na próxima semana.

O Owl Labs leva essas vulnerabilidades a sério. Até onde sabemos, nunca houve nenhuma violação de segurança do cliente. Já abordamos ou estamos tratando de outros pontos levantados no relatório de investigação.

Abaixo estão as atualizações específicas que estamos fazendo para solucionar vulnerabilidades de segurança, que estarão disponíveis em junho de 2022 e serão lançadas a partir de amanhã:

• API RESTful para recuperar dados PII não será mais possível
• Implemente restrições de serviço MQTT para proteger as comunicações de IoT
• Remova o acesso às PII de um proprietário anterior na IU ao transferir um dispositivo de uma conta para outra
• Limite o acesso ou elimine o acesso ao visor da porta PBX
• Correção para o modo de tethering de AP Wi-Fi