Videokonferenz-Hardware Meeting Owl Pro wird sicherer, bleibt aber noch unsicher
Der Hersteller der 360-Grad-Kamera Meeting Owl Pro und Whiteboard Owl beginnt, gefährliche Sicherheitslücken zu schließen.
(Bild: Owl Labs)
Die beiden Videokonferenzlösungen Meeting Owl Pro und Whiteboard Owl des Herstellers Owl Labs sind verwundbar. Sicherheitsforscher von Modzero sind insgesamt auf fünf Sicherheitslücken gestoßen, über die Angreifer unter anderem in Netzwerke schlüpfen könnten. Bislang wurde nur eine Schwachstelle geschlossen.
Hintertüren
In einem ausführlichen Report führt das Forschungsteam Informationen zu den Lücken aus. Eine Schwachstelle (CVE-2022-31462) ist als "kritisch" eingestuft. Angreifer könnten in Bluetooth-Reichweite über ein hartcodiertes Passwort die Kontrolle über Geräte erlangen.
Die verbleibenden Lücken sind mit dem Bedrohungsgrad "hoch" versehen. Auch an diesen Stellen könnten Angreifer mit vergleichsweise wenig Aufwand etwa auf Passcode-Hashes zugreifen oder den PIN-Schutz umgehen, um sich unberechtigten Zugang zu Geräten zu verschaffen. In diesen Positionen könnten Angreifer beispielsweise vertrauliche Firmen-Interna einer Präsentation mitschneiden oder sich sogar Zugang zum Netzwerk verschaffen.
Zäher Prozess
Die Sicherheitsforscher geben an, den Hersteller erstmalig im Januar 2022 kontaktiert zu haben. Die Kommunikation sei nur schwer in Gang gekommen. Ab Mitte März wollte der Hersteller dann Sicherheitsupdates veröffentlichen.
Das ist aber erst jetzt mit der Version 5.4.1.4 geschehen und darin haben die Entwickler nur eine (CVE-2022-31460) der fünf Lücken geschlossen. Immerhin können Angreifer nun die vor dem Update nicht optimal konfigurierte Access-Point-Funktion der Videokonferenzlösungen nicht mehr als Sprungbrett in Netzwerke missbrauchen.
Lesen Sie auch
360°-Videokonferenzsystem Meeting Owl Pro mit Auto-Zoom
In einem Beitrag versichert Owl Labs, dass nach der Installation der aktuellen Ausgabe Angreifer über die Lücken nicht mehr unbefugt auf Netzwerke zugreifen können. Vier der Lücken sind aber immer noch offen, weshalb die Formulierung komisch klingt. Die ausstehenden Sicherheitsupdates sollen die "nächsten Wochen" erscheinen.
Wie uns die Pressestelle von Owl Labs mitgeteilt hat, können Angreifer über die vier noch offenen Lücken nicht auf Netzwerke zugreifen.
(des)