Onderzoekers hebben in een systeem waarmee scholen de laptops van hun leerlingen kunnen besturen en monitoren verschillende kwetsbaarheden ontdekt waardoor een aanvaller op hetzelfde netwerk de machines had kunnen overnemen. Het gaat in totaal om vier beveiligingslekken in Netop Vision Pro, die vorige maand door de fabrikant zijn verholpen. Dat meldt antivirusbedrijf McAfee.
Via de software kunnen docenten op afstand taken op de schoolcomputers van leerlingen uitvoeren, zoals het blokkeren van websites, het installeren of uitvoeren van applicaties en het delen van documenten. Volgens de onderzoekers hoort Netop Vision Pro in de standaardconfiguratie nooit toegankelijk te zijn vanaf het internet. Door de coronapandemie worden schoolcomputers echter op allerlei netwerken aangesloten, wat het aanvalsoppervlak vergroot, zegt Sam Quinn van McAfee.
De onderzoekers ontdekten dat al het netwerkverkeer van de software onversleuteld wordt verstuurd, waaronder Windowswachtwoorden. Het gaat om het wachtwoord dat een docent gebruikt om op de computer van een leerling in te loggen. Screenshots van de desktops van de leerlingen, die de software continu maakt, worden ook onversleuteld verstuurd naar de leraar. Iedereen op het lokale netwerk kan deze screenshots onderscheppen.
Het tweede probleem was dat de commando's die door een docent naar een computer worden verstuurd door een aanvaller zijn te onderscheppen, aan te passen en opnieuw zijn "af te spelen". Zo zou het mogelijk zijn om willekeurige applicaties te starten. De derde kwetsbaarheid maakte het mogelijk voor een aanvaller om zijn rechten te verhogen.
De gevaarlijkste kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 met een 9,5 werd beoordeeld, was aanwezig in de chatfunctie. Dit beveiligingslek maakte het mogelijk voor een aanvaller op het lokale netwerk om code met systeemrechten op de computer van leerlingen uit te voeren. Daarnaast zou het ook mogelijk zijn om de webcam van de leerlingen over te nemen.
Netop werd op 11 december vorig jaar over de kwetsbaarheden geïnformeerd en kwam eind februari met een beveiligingsupdate. Alleen het netwerkverkeer wordt nog altijd onversleuteld verstuurd. Dat probleem zal via een toekomstige update worden verholpen, aldus Netop.
Deze posting is gelocked. Reageren is niet meer mogelijk.