December 18, 2019 |

Populärt trådlöst presentationssystem hackas under 60 sekunder

F-Secures säkerhetskonsulter varnar för att de enheter som vi litar blint på även är angriparnas favoritmål. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt flera brister i ett populärt trådlöst presentationssystem, varav vissa kan utnyttjas på mindre än 60 sekunder. Angripare kan använda bristerna för att avlyssna och manipulera information under presentationer, stjäla lösenord och annan konfidentiell […]

F-Secures säkerhetskonsulter varnar för att de enheter som vi litar blint på även är angriparnas favoritmål.

Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt flera brister i ett populärt trådlöst presentationssystem, varav vissa kan utnyttjas på mindre än 60 sekunder. Angripare kan använda bristerna för att avlyssna och manipulera information under presentationer, stjäla lösenord och annan konfidentiell information samt installera bakdörrar och andra skadeprogram.

Barcos trådlösa presentationssystem ClickShare är ett samarbetsverktyg som hjälper grupper av personer att presentera innehåll från olika enheter. ClickShare är populärt bland företag och används enligt Barcos webbplats av 40 procent av Fortune 1000-bolagen.*

F-Secure Consultings Dmitry Janushkevich är seniorkonsult och specialiserar sig på maskinvarusäkerhet. Han säger att populariteten hos dessa användarvänliga verktyg gör dem till logiska mål för angrepp, vilket är anledningen till att hans team ville undersöka dem.

— De här enheterna är så praktiska och enkla att använda, så människor ser ingen anledning att misstro dem. Men enkelheten i de här systemen döljer extremt komplexa inre processer, och denna komplexitet gör säkerheten till en utmaning. De vardagliga föremål som människor litar blint på utgör de bästa målen för angripare, och eftersom dessa enheter är så populära hos företag bestämde vi oss för att undersöka och se vad vi kunde lära oss av det, förklarar Dmitry.

Dmitry och hans F-Secure Consulting-kollegor forskade i ClickShare-systemet fram och tillbaka under flera månader efter att ha noterat hur populärt det var under flera Red Team-övningar. De upptäckte flera exploaterbara brister, varav tio tilldelades CVE-identifierare (Common Vulnerabilities and Exposures). De olika problemen underlättar en rad olika angrepp, däribland avlyssning av information som delas genom systemet, användning av systemet för att installera bakdörrar eller andra skadeprogram på användarnas datorer och stöld av information och lösenord.

Vissa av bristerna kräver fysisk åtkomst för att exploateras, medan andra kan utnyttjas på distans om enheten använder standardinställningarna. Dessutom säger Dmitry att vissa brister kan utnyttjas på mindre än 60 sekunder, vilket gör det enkelt för personer med fysisk åtkomst att utge sig för att vara städare eller kontorsarbetare och kompromettera enheten.

— Det primära målet med våra tester var att ta oss in i systemet genom en bakdörr, så att vi kunde kompromettera presentatörer och stjäla information medan den presenterades. Även om det var svårt att knäcka perimetern kunde vi hitta flera problem efter att vi fick åtkomst, och det var enkelt att utnyttja dem när vi visste mer om systemet. Vi kan kompromettera det här systemet på mindre än en minut, så att använda det för att presentera konfidentiell information, vilket är det primära användningsfallet för många företag, är en risk som kräver uppmärksamhet från företag, förklarar Dmitry.

F-Secure Consulting delade sin forskning med Barco den 9 oktober 2019. Flera av problemen rör maskinvarukomponenter som kräver fysiskt underhåll för att åtgärda och som sannolikt inte kommer att åtgärdas.

— Det här fallet visar hur svårt det är att säkra ’smarta enheter’. Buggar i hårdvaran, i designen och i den inbyggda programvaran kan ha långvariga negativa effekter på både tillverkaren och användarna, vilket underminerar det förtroende vi har för dessa enheter, säger Dmitry.

F-Secure Consulting är verksamt på fyra kontinenter från elva olika länder. De tillhandahåller IT-säkerhetstjänster som är skräddarsydda för att passa behoven hos banker, finansiella tjänster, luftfart, sjöfart, detaljhandel, försäkringar och andra organisationer som arbetar inom mycket riktade sektorer. Information om forskningen finns i ett blogginlägg på F-Secure Labs. Mer information om F-Secure Consulting finns här.

* Källa: https://www.Barco.com/en/clickshare

 

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Vi minskar klyftan mellan Detection & Response genom att samla den oöverträffade intelligensen som finns hos hundratals av våra branschledande konsulter, miljontals enheter som kör vår prisbelönta programvara och innovationer inom artificiell intelligens. Världens största banker, flygbolag och företag litar på oss att hjälpa dem bekämpa världens mest avancerade hot. Tillsammans med vårt nätverk av de bästa partners och över 200 tjänsteleverantörer är vårt uppdrag att se till att alla har åtkomst till cybersäkerhet som vi alla behöver. F-Secure grundades 1988 och är noterat på NASDAQ OMX Helsinki Ltd.

 

Presskontakt:

Sanna Syrjäläinen
+358 40 8349277
PR Manager, Nordics
F-Secure Corporation

 

Pressarkiv
Välj år

Senaste pressmeddelandena

March 6, 2020

IT-attacker och ransomware ett stort problem under hela 2019

En ny rapport från F-Secure visar att ransomware utgör ett allt större hot, men det finns anledning till att vara positiv.   Cyberbrottslingar fortsatte att stå för en uppsjö av attacker år 2019, sporrade av botnets på angripna IoT-enheter och angripares intresse för sårbarheten EternalBlue. I en ny rapport ”Attack Landscape H2 2019” från cybersäkerhetsleverantören […]

February 18, 2020

Ny rapport visar att internetanvändare är överväldigade av oro för ID-stöld

En rapport från F-Secure visar att konsumenter är mycket oroliga för ID-stölder, F-Secure lanserar ett kostnadsfritt verktyg som hjälper människor att hitta utsatta data En ny rapport från cybersäkerhetsleverantören F-Secure visar att en stadig ström av stora dataintrång har lett till att majoriteten av konsumenter är oroliga för online-brott som leder till identitetsstöld och kapning […]

December 18, 2019

Populärt trådlöst presentationssystem hackas under 60 sekunder

F-Secures säkerhetskonsulter varnar för att de enheter som vi litar blint på även är angriparnas favoritmål. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt flera brister i ett populärt trådlöst presentationssystem, varav vissa kan utnyttjas på mindre än 60 sekunder. Angripare kan använda bristerna för att avlyssna och manipulera information under presentationer, stjäla lösenord och annan konfidentiell […]

December 13, 2019

Säkerhetsproblem hos smart lås lämnar dörrar öppna för angripare

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av […]

%d bloggers like this: