Securityonderzoekers van modzero vonden een ernstige kwetsbaarheid in Meeting Owl Pro. Het conferencing-apparaat wordt door meer dan 100.000 organisaties gebruikt, waaronder overheden.

De Meeting Owl Pro bevat microfoons en 360 graden-camera’s voor videoconferences. Het apparaat wordt op grote schaal gebruikt door hogescholen, advocatenkantoren en Amerikaanse overheden. Een analyse van securitybedrijf modzero wijst uit dat het apparaat een ernstig risico vormt voor elk netwerk waarmee het verbindt.

Bij het configureren van de Meeting Owl Pro vraagt het systeem om de persoonsgegevens van de gebruiker. De onderzoekers ontdekten dat de persoonsgegevens worden opgeslagen in een database die via het internet toegankelijk is. Je hebt geen wachtwoord nodig om de database in te komen. De enige voorwaarde is het serienummer van het apparaat.

Patch beschikbaar

Modzero nam in januari 2022 contact op met Owl Labs, de leverancier van Meeting Owl. De organisatie werd op de hoogte gebracht van het risico. Op 3 juni lanceerde Owl Labs een patch voor het probleem. De update wordt automatisch doorgevoerd op elk Meeting Owl-apparaat met een internetverbinding. De ernstigste kwetsbaarheid is uit de weg, maar een aantal risico’s blijven aanwezig. Owl Labs werkt momenteel aan een oplossing voor de resterende problemen: CVE-2022-31463, CVE-2022-31462, CVE-2022-31461 en CVE-2022-31459.

Tip: Microsoft Teams vs Zoom vs Google Meet vs Webex Meetings vs BlueJeans