Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op computerworld.nl. Dit vinden wij jammer, want computerworld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor computerworld.nl door deze te whitelisten?
!
Welkom op computerworld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
0 Reacties Bewaren
Telepresence robot

Rondrijdende telerobot blijkt lek

Beveiligingsbedrijf Rapid7 ontdekt drie kwetsbaarheden in telepresence-bot.

Een fabrikant van een iPad-robot die wordt gebruikt om te kunnen telewerken heeft twee kwetsbaarheden gepatcht in een van de robots. Een derde lek heeft weinig praktische impact.

Ken je die nieuwerwetse robots die op kantoren rondrollen met een iPad als hoofd, zodat mensen op afstand aanwezig kunnen zijn? Stel je voor dat een onverlaat daar de controle over krijgt. Dat kan, zo blijkt uit onderzoek van Rapid7. Het beveiligingsbedrijf ontdekte drie kwetsbaarheden in de Double Telepresence Robot.

Het gaat om een kwetsbaarheid in de vorm van zwakke Bluetooth-pairing, eentje die ongeauthenticeerde toegang tot data oplevert en statisch sessiebeheer wat een zwakte oplevert. Twee van deze kwetsbaarheden zijn in januari gepatcht, wat een bijzonder snelle reactie gezien, vooral omdat ze ongeveer een week nadat ze waren gemeld bij het bedrijf al waren gedicht.

Ongeautoriseerde toegang

Een ongeautoriseerde gebruiker zou toegang kunnen krijgen tot hardware- en softwaregegevens, inclusief serienummer, driver- en sessie-informatie, installatiesleutels en GPS-coördinaten, schrijft Rapid7. Via twee voorbeelden van exploits kon via een url kritieke sessie-informatie worden opgevangen. Deze kwetsbaarheid is op 16 januari al gepatcht.

Ook verliep de token niet waarmee je toegang kunt verkrijgen (waarnaar wordt verwezen als driver_token). Kortom, met die token in handen kan een aanvaller toegang krijgen zonder account of wachtwoord. Ook al was het 40-tekenlange token complex, kan het worden achterhaald via een MitM-aanval. Ook deze kwetsbaarheid is opgelost op 16 januari.

Zwakke pairing

Bij het pairen met het apparaat hoeft een aanvaller geen pincode te hebben, maar een eigen versie van de applicatie. De impact van dit gat is beperkt, omdat er maar één applicatie tegelijk toegang kan hebben en het alleen met een beperkt bereik kan (Bluetooth). Met een stevige antenne kan dat bereik overigens worden vergroot na 2 á 3 kilometer.

Dit vindt Double Robotics geen belangrijk beveiligingsissue en daarom wordt hij niet gepatcht. Ook benadrukt het bedrijf dat de kwetsbaarheden in ieder geval niet in de praktijk zijn misbruikt voordat de patches verschenen. Daarnaast gebruikt Double Robotics end-to-end-encryptie met WebRTC voor beveiliging met lage latyency.

Gerelateerde vragen

Meer vragen »

Oudste boven ▾ Reacties

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Er zijn nog geen reacties.

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview