Závažná chyba zabezpečenia v populárnom súprave na vývoj softvéru na videohovory (SDK) mohla útočníkovi umožniť špehovať prebiehajúce súkromné videohovory a zvukové hovory.
Vyplýva to z nového výskumu, ktorý dnes zverejnil tím McAfee Advanced Threat Research (ATR), ktorý našiel spomínanú chybu v súprave Agora.io SDK používanej niekoľkými sociálnymi aplikáciami ako eHarmony, Plenty of Fish, MeetMe a Skout; zdravotnícke aplikácie ako Talkspace, Practo a Dr. First’s Backline; a v aplikácii pre Android, ktorá je spárovaná s osobným robotom „temi“.
Kalifornská Agora je platforma pre video, hlas a živé interaktívne streamovanie, ktorá umožňuje vývojárom vložiť do svojich aplikácií hlasový rozhovor a videorozhovor, nahrávanie v reálnom čase, interaktívne živé vysielanie a posielanie správ v reálnom čase. Odhaduje sa, že súpravy SDK spoločnosti sú zabudované do mobilných, webových a desktopových aplikácií vo viac ako 1.7 miliardy zariadení na celom svete.
McAfee odhalil chybu (CVE-2020-25605) pre Agora.io 20. apríla 2020, po čom spoločnosť 17. decembra 2020 vydala novú súpravu SDK na nápravu hrozby, ktorú táto zraniteľnosť predstavuje.
Slabosť zabezpečenia, ktorá je dôsledkom neúplného šifrovania, mohla byť zneužitá zlými hráčmi na spustenie útokov typu man-in-the-middle a zachytenie komunikácie medzi dvoma stranami.
„Implementácia súpravy Agora SDK neumožnila aplikáciám bezpečne nakonfigurovať nastavenie šifrovania videa/audia, čím ponechali potenciál pre hackerov, aby ich sledovali,“ uviedli vedci.
Konkrétne funkcia zodpovedná za pripojenie koncového používateľa k hovoru odovzdala parametre, ako je ID aplikácie a parameter autentifikačného tokenu v otvorenom texte, čím umožnila útočníkovi zneužiť tento nedostatok na snímanie sieťovej prevádzky, aby zhromaždil informácie o hovoroch a následne spustil svoje vlastné Video aplikácia Agora na tajné vytáčanie hovorov bez vedomia účastníkov.
Hoci neexistujú dôkazy o tom, že by bola zraniteľnosť zneužitá vo voľnej prírode, vývoj opäť podčiarkuje potrebu zabezpečenia aplikácií na ochranu súkromia používateľov.
„Vo svete online zoznamovania môže narušenie bezpečnosti alebo možnosti špehovať hovory viesť k vydieraniu alebo obťažovaniu zo strany útočníka,“ uzavreli vedci. “Iné vývojárske aplikácie Agora s menšou zákazníckou základňou, ako je robot temi, sa používajú v mnohých odvetviach, ako sú nemocnice, kde by schopnosť špehovať konverzácie mohla viesť k úniku citlivých lekárskych informácií.”
Dôrazne sa odporúča, aby vývojári používajúci Agora SDK inovovali na najnovšiu verziu, aby sa znížilo riziko.
