חברת סייבר בשם Modzero שחררה בחודש יוני דוח מפורט על ה-Meeting Owl המכיל מספר 'פגיעויות' ובסיכומו נכתב כי המוצר אינו בטוח לשימוש, גם אם בחיבור USB פשוט למחשב. ה-meeting Owl למי שלא מכיר, היא יחידה פופולרית המעוצבת בצורת ינשוף המכילה מצלמות, מיקרופונים ורמקולים המשמשים לשיחות ועידה.
סיוט של כל יצרנית
פגשנו כבר יצרניות שונות בתחום הקולבורציה שהתמודדו בשנתיים האחרונות עם פגיעויות מובנות במוצרים השונים, חלקן היו זניחות וחלקן השביתו שיחות ועידה. אותן פגיעויות טופלו לרוב במהירות כאשר היצרניות הזדרזו גם לפרט מהם הליקויים שטופלו ואף שיפרו את מערך האבטחה סביב המוצרים בפלטפורמות השונות. לכן די מפתיע למצוא דוח חמור בממצאיו באמצע שנת 2022.
עד כמה חמור ?
בתקציר המנהלים של הדוח מתוארות פגיעויות ברמות שונות, החל מממשק ניהול מכשירים שניתן לפרוץ בקלות יחסית, הפיכת המוצר לאנטנה אלחוטית דרכה ניתן להתחבר לרשת הארגונית, חוסר יכולת לכבות את רכיב הבלוטות' במוצר ועד לקבלת גישה לצילומי מסך ששותפו בפגישה. כמעט כל ממצא משמעותי ברמת החומרה שלו מאחר ומדובר על יכולת חדירה לרשת הארגונית. כפי שציינו מעלה – סיוט של כל יצרנית ולקוח.
האם זה הוגן ?
על פי מה שרשמה חברת Modzero בדוח, נראה שניסתה להיות הוגנת ככל הניתן על ידי מתן מספר הזדמנויות ל-Meeting Owl להגיב אולם ככל שעבר הזמן החליטה חברת הסייבר להפנות את הממצאים לתשומת ליבה של ה-CERT-BUND שהיא מנגנון צוות תגובה חירום לסוכנויות פדרליות בגרמניה. בסוף חודש פברואר 2022 נענתה Modzero על ידי Meeting Owl כי תבצע שינויים עבור הפגיעויות אותן תצליח לשחזר ובסוף חודש מאי 2022 שוחרר הממצא. נשאלת השאלה כיצד על יצרנית לנהוג במקרה כזה, מצד אחד כמות ממצאים משמעותיים לא מבוטלים ומצד שני לקוחות המשתמשים במוצר עם אותן פגיעויות.
מעניין יהיה לעקוב אחר לקוחות שרכשו את ה-Meeting Owl שנמסר באתרים שונים כי הוא היה בשימוש מוסדות ממשלתיים בעולם, בהחלט אירוע חריג יחסית לתקופה בה הסייבר הפך לאחד הקריטריונים החשובים ביותר בעולם הקולבורציה.
תמונה ראשית – Canva
