Populärt trådlöst presentationssystem hackas under 60 sekunder
F-Secures säkerhetskonsulter varnar för att de enheter som vi litar blint på även är angriparnas favoritmål.
Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt flera brister i ett populärt trådlöst presentationssystem, varav vissa kan utnyttjas på mindre än 60 sekunder. Angripare kan använda bristerna för att avlyssna och manipulera information under presentationer, stjäla lösenord och annan konfidentiell information samt installera bakdörrar och andra skadeprogram.
Barcos trådlösa presentationssystem ClickShare är ett samarbetsverktyg som hjälper grupper av personer att presentera innehåll från olika enheter. ClickShare är populärt bland företag och används enligt Barcos webbplats av 40 procent av Fortune 1000-bolagen.*
F-Secure Consultings Dmitry Janushkevich är seniorkonsult och specialiserar sig på maskinvarusäkerhet. Han säger att populariteten hos dessa användarvänliga verktyg gör dem till logiska mål för angrepp, vilket är anledningen till att hans team ville undersöka dem.
— De här enheterna är så praktiska och enkla att använda, så människor ser ingen anledning att misstro dem. Men enkelheten i de här systemen döljer extremt komplexa inre processer, och denna komplexitet gör säkerheten till en utmaning. De vardagliga föremål som människor litar blint på utgör de bästa målen för angripare, och eftersom dessa enheter är så populära hos företag bestämde vi oss för att undersöka och se vad vi kunde lära oss av det, förklarar Dmitry.
Dmitry och hans F-Secure Consulting-kollegor forskade i ClickShare-systemet fram och tillbaka under flera månader efter att ha noterat hur populärt det var under flera Red Team-övningar. De upptäckte flera exploaterbara brister, varav tio tilldelades CVE-identifierare (Common Vulnerabilities and Exposures). De olika problemen underlättar en rad olika angrepp, däribland avlyssning av information som delas genom systemet, användning av systemet för att installera bakdörrar eller andra skadeprogram på användarnas datorer och stöld av information och lösenord.
Vissa av bristerna kräver fysisk åtkomst för att exploateras, medan andra kan utnyttjas på distans om enheten använder standardinställningarna. Dessutom säger Dmitry att vissa brister kan utnyttjas på mindre än 60 sekunder, vilket gör det enkelt för personer med fysisk åtkomst att utge sig för att vara städare eller kontorsarbetare och kompromettera enheten.
— Det primära målet med våra tester var att ta oss in i systemet genom en bakdörr, så att vi kunde kompromettera presentatörer och stjäla information medan den presenterades. Även om det var svårt att knäcka perimetern kunde vi hitta flera problem efter att vi fick åtkomst, och det var enkelt att utnyttja dem när vi visste mer om systemet. Vi kan kompromettera det här systemet på mindre än en minut, så att använda det för att presentera konfidentiell information, vilket är det primära användningsfallet för många företag, är en risk som kräver uppmärksamhet från företag, förklarar Dmitry.
F-Secure Consulting delade sin forskning med Barco den 9 oktober 2019. Flera av problemen rör maskinvarukomponenter som kräver fysiskt underhåll för att åtgärda och som sannolikt inte kommer att åtgärdas.
— Det här fallet visar hur svårt det är att säkra ’smarta enheter’. Buggar i hårdvaran, i designen och i den inbyggda programvaran kan ha långvariga negativa effekter på både tillverkaren och användarna, vilket underminerar det förtroende vi har för dessa enheter, säger Dmitry.
F-Secure Consulting är verksamt på fyra kontinenter från elva olika länder. De tillhandahåller IT-säkerhetstjänster som är skräddarsydda för att passa behoven hos banker, finansiella tjänster, luftfart, sjöfart, detaljhandel, försäkringar och andra organisationer som arbetar inom mycket riktade sektorer. Information om forskningen finns i ett blogginlägg på F-Secure Labs. Mer information om F-Secure Consulting finns här.
* Källa: https://www.Barco.com/en/clickshare
Ytterligare information:
F-Secures blog: https://blog.f-secure.com/new-research-reveals-how-the-devices-we-trust-most-can-leave-us-vulnerable/
F-Secure Consulting: https://www.f-secure.com/en/consulting
F-Secures pressrum: https://sv.press.f-secure.com/
Presskontakt:
Sanna Syrjäläinen
+358 40 8349277
PR Manager, Nordics
F-Secure Corporation
Om F-Secure
Ingen kan cybersäkerhet som F-Secure. Vi minskar klyftan mellan Detection & Response genom att samla den oöverträffade intelligensen som finns hos hundratals av våra branschledande konsulter, miljontals enheter som kör vår prisbelönta programvara och innovationer inom artificiell intelligens. Världens största banker, flygbolag och företag litar på oss att hjälpa dem bekämpa världens mest avancerade hot. Tillsammans med vårt nätverk av de bästa partners och över 200 tjänsteleverantörer är vårt uppdrag att se till att alla har åtkomst till cybersäkerhet som vi alla behöver. F-Secure grundades 1988 och är noterat på NASDAQ OMX Helsinki Ltd.