Stor sikkerhetsbrist i populært møteromsutstyr
Kan lekke sensitive opplysninger på få minutter.
En dansk medarbeider i F-Secure, hackeren Dmitry Janushkevich, har funnet en stor sikkerhetsbrist i presentasjonutstyret ClickShare, som blir levert av teknologiselskapet Barco. Sårbarheten skal gjøre at hackere kan få innsyn i konfidensiell informasjon, og mulighet til å kompromittere deltakerne på møtedatamaskinene. Det hele på relativt få minutter.
To scenarier
Janushkevich skal ha testet to forskjellige scenarioer for å undersøke om presentasjonutstyret var sårbart overfor potensielle angrep. Begge scenariene viste seg å være suksessfulle.
– Vi forsøkte å fange opp den informasjonen som ble sendt til projektoren gjennom systemet, og om vi kunne overta kontrollen over knappene ved å kompromittere brukeren, forklarer Janushkevich til Computerworld Danmark.
Hackeren fant ut at begge scenarier var lette å utføre når man først kjente til sårbarheten.
– Det tar ikke mer enn et par minutter å kompromittere enheten, sier Janushkevich, til vår søsteravis.
Alvorlig
Sårbarheten er ifølge F-Secure alvorlig ettersom mange bedrifter bruker ClickShare-enheten til å presentere følsom informasjon - som for eksempel styremøter.
I tillegg til å lese og endre i presentasjonene, fikk Janushkevich adgang til flere interessante funksjoner gjennom den ellers uskyldige presentasjon-klikkeren:
– Vi fant ut at vi, på grunn av en oppdatering fra Barco, kunne få enheten til å eksekvere kode når den blir forbundet til en Windows-computer, sier han, og forklarer til Computerworld Danmark at dette krever at man har mulighet for å få fysisk adgang til ClickShare-enheten.
Ingen utsikt til løsning
F-Secure skal ha vært i kontakt med Barco.
Ettersom sårbarhetene skyldes en fysisk sikkerhetsbrist i enheten, har ikke selskapet utsendt firmware oppdatering av enheten.
F-Secure skal ha forklart at det er usannsynlig at problemene blir løst, ettersom disse involverer hardware-komponenter som krever fysisk adgang og fysiske endringer for å løses.
Selskapet anbefaler derfor at alle som benytter presentasjon-klikkeren holder et våkent øye med hvem som går inn og ut av selskapets møtelokaler, og holder styr på bedriftens fysiske sikkerhet.
