Серьезная уязвимость в популярном комплекте для разработки программного обеспечения для видео-звонков могла бы позволить злоумышленнику следить за приватными видео- и аудио-звонками.
Согласно новому исследованию, опубликованному командой разработчиков McAfee Advanced Threat Research, вышеупомянутый баг был обнаружен в SDK Agora.io, используемом в нескольких приложениях, таких как eHarmony, Plenty of Fish, MeetMe и Skout, в приложениях для здравоохранения, таких как Talkspace, Practo и Dr. First's Backline, а также в приложении для Android, работающем в паре с роботом «Temi».
Продукт компании Agora, расположенной в Калифорнии - это интерактивная платформа для потоковой передачи видео, голоса и сообщений в реальном времени, позволяющая разработчикам встраивать в свои приложения голосовой и видео-чат, запись в реальном времени, интерактивную потоковую передачу и обмен сообщениями в реальном времени. По оценкам, SDK компании могут быть встроены в мобильные, веб и настольные приложения на более чем 1,7 миллиардах устройств по всему миру.
McAfee сообщила об уязвимости (CVE-2020-25605) разработчику 20 апреля 2020 г., после чего 17 декабря 2020 г. компания выпустила новый SDK с устраненным багом.
Проблема безопасности, являющаяся следствием неполного шифрования, могла быть использована злоумышленниками для проведения атак типа «man-in-the-middle» и перехвата сообщений.
«Внедрение SDK от Agora не позволяло приложениям безопасно настроить шифрование видео/аудио, оставив, таким образом, возможность для хакеров шпионить за ними», - сообщают исследователи.
В частности, функция, отвечающая за подключение конечного пользователя к звонку, передавала параметры App ID и токен аутентификации в виде простого текста и, таким образом, позволяла злоумышленнику, в случае прослушивания сетевого трафика, собрать информацию о вызовах и запустить собственное видео-приложение Agora для скрытого подключения к звонкам без ведома легальных пользователей.
Хотя нет никаких доказательств того, что эта уязвимость использовалась в реальных атаках, сам факт ее наличия еще раз подчеркивает необходимость защиты приложений для защиты конфиденциальности пользователей.
«В мире онлайн-знакомств нарушение безопасности или возможность шпионить за звонками может привести к шантажу или преследованию со стороны злоумышленника», - заключили исследователи. «Другие приложения компании Agora для разработчиков с небольшой клиентской базой, такие как робот «Temi», используются во многих отраслях промышленности, например в больницах, где возможность шпионить за разговорами может привести к утечке конфиденциальной медицинской информации».
Настоятельно рекомендуется разработчикам, использующим Agora SDK, обновиться до последней версии для устранения рисков.
Перевод сделан со статьи: https://thehackernews.com
