Cybersäkerhetsföretaget F-Secure har upptäckt flera exploaterbara sårbarheter i ett populärt trådlöst presentationssystem som kan tillåta en angripare att manipulera information under presentationer, stjäla lösenord och annan känslig information och till och med installera bakdörrar och annan skadlig kod. Företaget upptäckte sårbarheter i Barcos trådlösa presentationssystem ClickShare, ett samarbetsverktyg som låter användare presentera innehåll från en mängd olika enheter. F-Secure Consultings seniorkonsult Dmitry Janushkevich sa att populariteten för de lättanvända verktygen gjorde dem till perfekta mål för hackare, och sa: "Systemet är så bekvämt och lätt att använda att folk inte ser någon anledning att misstänka. Men deras bedrägliga enkelhet döljer extremt komplexa inre funktioner, och den komplexiteten gör säkerheten svår. Vardagsföremål som människor litar på utan en eftertanke är de bästa målen för angripare, och eftersom dessa system är så populära bland företag, bestämde vi oss för att driva det framåt och se vad vi kan lära oss."
Barco ClickShare
Janushkevich och hans kollegor på F-Secure Consulting började undersöka ClickShare-systemet på ad hoc-basis i flera månader efter att ha märkt dess popularitet under testning av röda team. Teamet upptäckte flera exploateringsbara sårbarheter, varav 10 har CVE-identifierare (Common Vulnerabilities and Exposures). Dessa olika problem har underlättat en mängd olika attacker, inklusive avlyssning av information som delas via systemet, användning av systemet för att installera bakdörrar eller annan skadlig programvara. på användarnas datorer och stöld av information och lösenord. Utnyttjande av vissa sårbarheter kräver fysisk åtkomst, men F-Secures konsulttjänster upptäckte också att andra kan exekveras på distans om systemet använder sina standardinställningar. Enligt Janushkevich kan expeditioner på Barco ClickShare snabbt utföras av en skicklig angripare med fysisk åtkomst (eventuellt poserar som en städare eller kontorsarbetare), vilket gör att de diskret kan kompromissa med enheten. F-Secure Consulting delade sin forskning med Barco i november och de två företagen arbetade tillsammans i ett samordnat uppsökande arbete. Barco har släppt en firmwareuppdatering på sin webbplats för att mildra de mest kritiska sårbarheterna, även om många av problemen involverar hårdvarukomponenter som kräver fysiskt underhåll för att lösas och som sannolikt inte kommer att åtgärdas.