+31(0)78 - 68 11 420 // +32(0)3 – 808 08 35 info@epatra.eu

Case studie: Noordhuis | Thuis op kantoor

Hoewel de recente bevindingen geen betrekking hebben op de Solstice-productfamilie van Mersive, is een van hun concurrenten voor de tweede keer uitgelicht voor beveiligingsproblemen. Onafhankelijke onderzoeker F-Secure, die de meest recente analyse uitvoerde en de resultaten op 16 december 2019 publiceerde, identificeerde een dozijn beveiligingsproblemen in het basisstation, USB-dongle en clientsoftware. Hoewel de fabrikant nu stappen heeft ondernomen om de ernstigste problemen aan te pakken, stelt het F-Secure-rapport dat verschillende van de fouten alleen kunnen worden verholpen door fysiek onderhoud en dat het onwaarschijnlijk is dat ze worden hersteld.

Mersive laat weten dat de Solstice niet door deze kwetsbaarheden wordt getroffen en geeft uitleg over de stappen die Mersive neemt om ervoor te zorgen dat beveiliging een topprioriteit is.

Fundamenteel komen de problemen in het rapport van F-Secure voort uit het gebruik van onveilige, standaardprotocollen in de software, een architectuur die gevoelige documenten opslaat en kwetsbare hardware met betrekking tot een systeemchip op de hostunit die gebruikers root-toegang tot het systeem biedt;

  • In het geval van onveilige software ondersteunen de getroffen units commando’s die toegang tot de unit kan bieden om nieuwe software te installeren of opdrachten uit te voeren. De Solstice Pod maakt geen gebruik van de getroffen C runtime-bibliotheken die worden gebruikt om opdrachten in het besturingssysteem van deze leverancier te injecteren. Bovendien is de Solstice Pod uitgerust met een strikt whitelisting-algoritme waarmee alleen een vooraf gedefinieerde set bekende en veilige opdrachten kan worden uitgevoerd met verhoogde bevoegdheden. Als de pod is verbonden met een netwerk waarbij mogelijk onveilige gebruikers betrokken zijn (bijvoorbeeld een gastnetwerk), kan al het configuratieverkeer worden uitgeschakeld vanaf dit netwerk.

 

  • In het geval van de op hardware gebaseerde kwetsbaarheid maakt Mersive geen gebruik van de getroffen chipset. We verzenden geen eenheden die kunnen worden geroot door het gebruik van een JTAG-interface of andere hulpprogramma’s voor foutopsporing. Fysieke toegang tot de pod staat een aanvaller niet toe toegang tot het systeem te krijgen.

 

  • Ten slotte slaan ze geen gebruikersinhoud op de Pod op. Alle gedeelde gebruikersinhoud, inclusief app-vensters, desktops, Miracast-streams en iOS mirroring-streams worden gecodeerd als een tijdelijke videostream en vervolgens voor decodering naar de Pod wordt verzonden. Videostreams worden alleen gedecodeerd in vluchtig geheugen en gebruikersinhoud wordt niet naar de pod verzonden of opgeslagen.

 

Als een softwareproduct dat op het netwerk is aangesloten, neemt Mersive de beveiliging altijd zeer serieus en is het voortdurend in dialoog met zakelijke en educatieve klanten die hun producten aan de strengste tests in de industrie onderwerpen. Ze voeren elk jaar meerdere penetratietests van derden uit en voeren doorlopende monitoring van elke Solstice-release uit. Een volledig beeld van hun beveiligingsprofiel is beschikbaar onder NDA in een beveiligd dataportaal. Dit portal bevat alle eerdere testresultaten, hun 24-uursresponsbeleid en een document met op beveiliging gerichte functies die in hun software zijn ingebouwd maar niet aan het grote publiek zijn gecommuniceerd.

Wil je graag meer informatie?

Dan kan je ons bereiken via +31(0)78 – 68 11 420 of mail naar info@epatra.eu

Neem contact met ons op

Geselecteerd
Kwetsbaarheden in draadloze presentatieproducten gelden niet voor Mersive

Ander nieuws

Sennheiser’s 75th anniversary promotions

Om 75 jaar innovatie te vieren, biedt Sennheiser het hele jaar door speciale aanbiedingen voor geselecteerde producten. Om te beginnen: de Sennheiser e 865 (s), de ideale vocale microfoon op instapniveau. Krijg nu tot 60% korting, zolang de voorraad strekt!

Kwetsbaarheden in draadloze presentatieproducten gelden niet voor Mersive

Hoewel de recente bevindingen geen betrekking hebben op de Solstice-productfamilie van Mersive, is een van hun concurrenten dit jaar voor de tweede keer uitgelicht voor beveiligingsproblemen.

Room Management-samenwerking TOPdesk en GoBright

TOPdesk, expert in servicemanagement en GoBright, ontwikkelaar van software voor vergader-, werkplek-, en bezoekersbeheer, kondigen een partnership aan.

Vogel’s Professional ISE 2020

Vogel’s Professional, specialist in professionele bevestigingsoplossingen voor (LED) displays, projectoren, tablets en monitoren, is van 11 t/m 14 februari aanwezig op ISE 2020.

De introductie van de geheel nieuwe APPC-10SLBW

We zijn erg enthousiast om onze nieuwste en beste innovatie aan u voor te stellen! De APPC-10SLBW!

Social media

Neem contact met ons op

Laat uw gegevens achter en wij nemen zo spoedig mogelijk contact op

De aanvraag is succesvol verzonden