360-Grad-Videokonferenzsystem "Meeting Owl Pro" - schwere Sicherheitslücken

Schwerwiegende Sicherheitslücken der "Meeting Owl Pro" am 31. Mai 2022 veröffentlicht. Einsatz dieser Geräte an der Freien Universität Berlin vorerst nicht mehr erlaubt!

News vom 01.06.2022

Verschiedene Bereiche der Freien Universität Berlin nutzen sogenannte "Meeting Owls Pro".

Am 31. Mai 2022 sind  schwerwiegende Sicherheitslücken veröffentlicht worden, die nach Sichtung und Bewertung mit der FU IT-Sicherheit einen Einsatz der Geräte an unserer Universität vorerst ausschließen.

Stand 01.06.2022: Es werden folgende Maßnahmen in Zusammenarbeit mit Zentralem Einkauf und dem Rechtsamt geprüft:

  • Klärung, welcher Bereich wie viele Meeting Owls Pro angeschafft hat.
  • Klärung, ob und wann der Hersteller der Meeting Owls Pro die offensichtlichen Mängel beheben wird.
  • Klärung, in Abstimmung mit den betroffenen Bereichen, wie die Aktualisierung der Geräte vorgenommen werden kann.
  • Parallel zur Klärung mit dem Hersteller wird an der Freien Univesität geprüft, inwiefern die Universität zivilrechtliche Maßnahmen zum entstandenem Schaden gegen die Lieferanten der Geräte geltend machen kann.

Technische Einordnung der Problematik sowie Referenzen:

  • Offenbar sind sowohl die Cloudarchitektur, über die die "Meeting Owls Pro" kommunizieren können, als auch die Geräte selbst kompromittierbar.
  • Cloud: Die Geräte können übernommen werden und es können gespeicherte Inhalte (u.a. Screenshots) "abgegriffen" werden.
  • Lokal: Die Geräte können über Bluetooth übernommen werden und es ist somit einem lokalem Angreifer möglich diese zu steuern und Inhalte abzugreifen.
  • Weitere Details sind unter der URL https://modzero.com/modlog/archives/2022/05/31/en_hoot_hoot_pwn/index.html veröffentlicht.

Grundsätzlich kann der Cloud-Fall an der Freien Universität aufgrund einer Inkompatibilität des von dem Gerät "Meeting Owl Pro" vorausgesetztem WLAN Pre-Shared-Key Verfahren gegenüber dem von der Freien Universität betriebenen WLAN mit dem 802.1X Verfahren ausgeschlossen werden. Dennoch wird auch die lokale Sicherheitslücke als so schwerwiegend eingestuft, als dass der weitere Einsatz der Geräte ohne Softwareupdate nicht vertreten werden kann und damit auszuschließen ist.

Stand 08.06.2022: Owllabs, Hersteller der Meeting Owl, hat am 06.06.2022 ein Security-Update in Aussicht gestellt

Einige Sicherheitslücken werden damit geschlossen, weitere relevante bleiben damit zum jetzigen Zeitpunkt offen. Diese sollen vrsl. in der Kalenderwoche 24 mittels weiterer Updates adressiert werden.

ZEDAT, FU-Rechtsamt, FU-Datenschutzbeauftragter und IT-Sicherheitsbeauftragter bewerten die Sachlage fortlaufend und bereiten einen Prozess vor, um sicherzustellen, dass die Meeting Owls das notwendige Update auch erhalten, bevor ein Einsatz dieser Geräte an der FU wieder aufgenommen werden kann.

Bei Fragen zu alternativen mobilen oder fest installierten Videokonferenzsystemen an Ihren Fachbereichen kontaktieren Sie bitte Ihre IT-Beauftragten oder konsultieren Sie die Übersicht der Videokonferenzräume der Freien Universität.

Weitere Informationen finden Sie auf der Homepage der ZEDAT.

4 / 100

Consulting & Support

Consulting
Vom CeDiS Consulting erhalten Sie individuelle Beratung und Unterstützung bei der Konzeption Ihrer digitalen Lehr- und Forschungsvorhaben. 
Kontakt: consulting@cedis.fu-berlin.de

Support
Der CeDiS Support beantwortet Ihre Nutzeranfragen zur Bedienung der folgenden zentralen Systeme der Freien Universität: Blackboard, CMS, FU-Wikis, FU-Blogs.
Kontakt: support@cedis.fu-berlin.de