Die Collaboration-Lösung "ClickShare" von Barco ermöglicht eine einfache und drahtlose Präsentation und Zusammenarbeit in Meeting-Räumen. Nun haben Berater des finnischen IT-Security-Unternehmen F-Secure "mehrere Sicherheitslücken" entdeckt, durch die es möglich ist, das System in weniger als 60 Sekunden zu hacken. So können vertrauliche Informationen wie Präsentationsinhalte oder Passwörter ausgespäht und Backdoors und andere Malware eingerichtet werden.
Laut Dmitry Janushkevich, Hardware Security Consultant bei F-Secure, macht gerade deren Beliebtheit solche benutzerfreundlichen Tools zum logischen Ziel von Attacken. Aus diesem Grund habe sich sein Team die Anwendung auch genau angesehen. "Dieses System ist so praktisch und einfach zu bedienen, dass die Nutzer keinen Grund sehen, warum sie misstrauisch sein sollten. Aber hinter der vermeintlichen Einfachheit verbergen sich extrem komplexe Vorgänge - was die Sicherheit zur Herausforderung macht", erläutert Janushkevich. Diese alltäglich eingesetzten Objekte, an die der Nutzer keine zwei Gedanken verschwendet, seien das beste Ziel für Angreifer.
Und so entdeckten Experten von F-Secure dort mehrfach verwertbare Sicherheitslücken. Zehn von ihnen sind CVE-Schwachstelle (Common Vulnerabilites and Exposures; Verzeichnis für bekannte Schwachstellen und Sicherheitsrisiken von Computersystemen). Die entdeckten Schwachstellen ermöglichen eine Vielzahl von Angriffen, so etwa das Abfangen der geteilten Informationen, die Nutzung des Systems zum Installieren von Backdoors oder anderer Malware auf dem Computer der Nutzer sowie den Diebstahl von Passwörtern und anderen Daten.
Neue Firmware-Version
Barco hat bereits reagiert und stellt eine neue Firmware-Version bereit. "Das neueste Update von Barco vom Dezember 2019 befasst sich unter anderem mit einer Reihe von Risiken, die durch ethisches Hacking entdeckt wurden", heißt es in einem Statement des Unternehmens. "Im Oktober 2019 haben die Berater von F-Secure mitgeteilt, dass sie Zugang zu unserer ClickShare-Lösung erhalten haben", erklärt Michael Vanderheeren, Director Product Management. Durch das Upgrade auf das Software-Release 1.9.1 können Kunden ihre Geräte absichern. "Wir empfehlen allen Kunden dringend, auf diese neueste Version zu aktualisieren", betont Vanderheeren.
Lesen Sie auch: Gerichtsentscheid im "Klick & Show"-Streit
Laut Barcos Product Security Incident Response Team-Mitglied (PSIRT) David Martens liegen derzeit keine Berichte vor, dass die Sicherheitslücken bereits ausgenutzt worden sind. F-Secure weist aber darauf hin, dass manche der Schwachstellen die Hardware-Komponenten betreffen und so nicht ohne weiteres durch ein Software-Update behoben werden können. Dazu muss man aber nach Auskunft von Martens die Elektronik im Innern der Basiseinheit manipulieren.
Die aktuelle Firmware kann unter https://www.barco.com/clickshare/firmware-update heruntergeladen werden. Zudem bietet Barco für ClickShare eine Auto-Update-Funktion an.