世界

ハッカーはスマートディスプレイを使用して会議をスパイする可能性がある

インターネットに接続されたデバイスのリストに別のエントリを追加して、予期しない場所で問題を引き起こします。人気のビデオ会議サービスZoomの「認定ハードウェアプロバイダー」であるDTENのタッチスクリーンスマートテレビには、ハッカーが本質的に会議室のバグを修正したり、ビデオフィードを持ち上げたり、デバイスのデジタルホワイトボードに書かれたメモを取ったりするために使用できる欠陥があります。長い会議を嫌うもう1つの理由

セキュリティ会社Forescoutは、研究者がビデオ会議ユニットのバグハンティングスキルを変えたときに脆弱性を発見しました自分のオフィスの会議室に座っています。 DTEN D5およびD7接続ディスプレイの表面レベルのセキュリティレビューを2週間実施した後、チームは5つのバグを発見しました。 3つはパッチされていますが、2つは脆弱性のままです。 8月初旬にDTENに欠陥を開示した後、研究者は、目立たないデバイスに潜むセキュリティ問題の脅威についての認識を高めるために、調査結果を出したいと考えました。

」会議室のディスプレイの多くを置き換えます。これは、スマートテレビ、Web会議システム、テレプレゼンスロボットなどの興味深い融合です」と、Forescoutの研究シニアディレクターであるアレックス・アイゼンは言います。

研究者に飛び出した問題:DTENシステムは、オープンインターネットで公開されたAmazon Web Servicesバケットにホワイトボード機能を介して書き込まれたメモと注釈を保存しました。これは、顧客が自分の表示に使用したURLの数字を変更するだけで、互いのスライド、スクリーンショット、およびメモのPDFにアクセスできたことを意味します。あるいは、だれでもリモートで顧客のデータ全体を把握できたかもしれません。さらに、DTENは、接続をpr索好きな目から保護するために、顧客のWebサーバーにHTTPS Web暗号化を設定していませんでした。 DTENは10月7日にこれらの問題を両方とも修正しました。数週間後、会社は同様のホワイトボードPDFアクセスの問題も修正しました。 「これは、攻撃者にとって非常に低い成果です」と、Forescout Research Labsの責任者であるElisa Costante氏は言います。 DTENはWIREDから複数のコメント要求を返しませんでした。

研究者は、DTENデバイスと同じネットワーク上の攻撃者がビデオ会議ユニットを操作してすべてのビデオおよびオーディオフィードを監視し、 、ある場合には、完全に制御します。 DTENハードウェアは主にAndroidを実行しますが、ズームにはMicrosoft Windowsを使用します。研究者は、ユニットを引き継ぐために、「Android Debug Bridge」と呼ばれる開発ツールにワイヤレスで、またはUSBポートまたはイーサネットを介してアクセスできることを発見しました。もう1つのバグは、公開されているAndroidの工場設定にも関連しています。研究者は、両方のオペレーティングシステムを実装しようとすると、設定ミスや露出の機会が増えることに注意します。どちらのバグにもまだパッチは適用されていませんが、Forescoutによれば、DTENは年末までにデバイス乗っ取りの脆弱性の修正をプッシュする予定です。

」オペレーティングシステム間をジャンプするために」とアイゼンは言います。 「どちらのオペレーティングシステムにも独自の接続性、独自のIPアドレス、独自のUSBポートが開かれているため、ネットワーク上でローカルにいても物理的にデバイスにいても、すべての会議コンテンツをAndroidオペレーティングシステムでキャプチャできます。システム。」

ローカルネットワークおよび物理アクセス攻撃は、オープンインターネットで公開されるデータよりも差し迫った脅威ではありませんが、ハッカーは他の欠陥を介してリモートでネットワークアクセスを取得できます。企業やその他の大規模機関向け。一方、DTENは、米国司法省を含む多くの大企業および組織を顧客に数えています。 DoJはコメントのリクエストを返しませんでしたが、同局はDTENの再販業者からネットワークおよび通信機器を購入しています。ウィキリークスは、サムスンのスマートテレビエクスプロイトを含むCIAハッキングツールの疑いのある一群を思い出深い形で公開しました。ほんの数週間前、オレゴン州連邦捜査局の現地事務所がリマインダーを発行して、スマートテレビを慎重に保護しました。しかし、ビデオ会議ユニットはまったく別の獣であり、さらに多くのセンサーと入力が組み込まれ、より機密データが通過します。


さらに素晴らしいWIREDストーリー

靴および靴下)、および最高のヘッドフォン

100

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Close