Kritieke lekken in presentatiesysteem Barco gedicht

Met het presentatiesysteem ClickShare is het mogelijk om draadloos een presentatie op een computer of een mobiel apparaat te tonen op een groot scherm. Daarvoor wordt onder meer een fysieke knop gebruikt, die via een USB-poort wordt aangesloten op het apparaat van de gebruiker. Door vervolgens software te selecteren en de knop in te drukken, kan de presentatie gedeeld worden.

Beveiligingsbedrijf F-Secure ontdekte dat het apparaat diverse kwetsbaarheden bevat, waardoor data gestolen kan worden. Aanvallers kunnen bijvoorbeeld meekijken met presentaties en dus ook de gedeelde data inzien, malware installeren op apparaten van gebruikers en wachtwoorden en andere informatie stelen. 

Niet alles is gedicht

F-Secure deelde zijn bevindingen in oktober met Barco. Op 13 december, nog voor de kwetsbaarheden openbaar werden gemaakt, verscheen al een firmware-update. Op die dag lichtte Barco ook zijn partners en klanten in via een technisch communicatiekanaal. "Op het moment dat de communicatie uitging waren al meer dan 50.000 ClickShare-units automatisch geüpdatet naar de laatste versie", aldus Govaerts. 

Met de update worden echter niet alle kwetsbaarheden gedicht. Van de twaalf fouten met een CVE-code zijn slechts vijf nu opgelost. "Wij hebben in samenspraak met F-Secure de beslissing genomen om binnen de beschikbare tijd de meest kritische kwetsbaarheden te dichten. Het resultaat is dat alle toegangspunten tot het systeem terug gedicht zijn."

De nog openstaande problemen worden waar mogelijk in toekomstige updates opgelost, die in de komende maanden moeten verschijnen. De fouten zijn nu echter al niet meer te misbruiken, benadrukt Govaerts. Misbruik is alleen mogelijk als er nieuwe toegangspunten tot het systeem gevonden worden. Ook als een aanvaller fysieke toegang heeft tot de ClickShare, moet er eerst nog een nieuwe softwarematige kwetsbaarheid gevonden worden om het systeem te misbruiken.