Barcos trådlösa presentationssystem ClickShare är ett samarbetsverktyg som hjälper grupper av personer att presentera innehåll från olika enheter. ClickShare är populärt bland företag och används enligt Barcos webbplats av 40 procent av Fortune 1000-bolagen.

F-Secure Consultings Dmitry Janushkevich är seniorkonsult och specialiserar sig på maskinvarusäkerhet. Han säger att populariteten hos dessa användarvänliga verktyg gör dem till logiska mål för angrepp, vilket är anledningen till att hans team ville undersöka dem.

– De här enheterna är så praktiska och enkla att använda, så människor ser ingen anledning att misstro dem. Men enkelheten i de här systemen döljer extremt komplexa inre processer, och denna komplexitet gör säkerheten till en utmaning. De vardagliga föremål som människor litar blint på utgör de bästa målen för angripare, och eftersom dessa enheter är så populära hos företag bestämde vi oss för att undersöka och se vad vi kunde lära oss av det, säger han.

F-Secure undersökte ClickShare-systemet under flera månader efter att ha noterat hur populärt det var under flera Red Team-övningar. De upptäckte flera exploaterbara brister, varav tio tilldelades CVE-identifierare (Common Vulnerabilities and Exposures). De olika problemen underlättar en rad olika angrepp, däribland avlyssning av information som delas genom systemet, användning av systemet för att installera bakdörrar eller andra skadeprogram på användarnas datorer och stöld av information och lösenord.

Vissa av bristerna kräver fysisk åtkomst för att exploateras, medan andra kan utnyttjas på distans om enheten använder standardinställningarna. Dessutom säger Dmitry att vissa brister kan utnyttjas på mindre än 60 sekunder, vilket gör det enkelt för personer med fysisk åtkomst att utge sig för att vara städare eller kontorsarbetare och kompromettera enheten.

– Det primära målet med våra tester var att ta oss in i systemet genom en bakdörr, så att vi kunde kompromettera presentatörer och stjäla information medan den presenterades. Även om det var svårt att knäcka perimetern kunde vi hitta flera problem efter att vi fick åtkomst, och det var enkelt att utnyttja dem när vi visste mer om systemet. Vi kan kompromettera det här systemet på mindre än en minut, så att använda det för att presentera konfidentiell information, vilket är det primära användningsfallet för många företag, är en risk som kräver uppmärksamhet från företag, säger Dmitry Janushkevich.

F-Secure Consulting delade sin forskning med Barco den 9 oktober 2019. Enligt F-Secure rör flera av problemen maskinvarukomponenter som kräver fysiskt underhåll för att åtgärda, vilket innebär att de sannolikt inte kommer att åtgärdas.