Бесплатно Экспресс-аудит сайта:

19.02.2021

Уязвимость в Agora SDK позволяла шпионить за приватными видеозвонками

Специалисты подразделения McAfee Advanced Threat Research (ATR) сообщили об опасной уязвимости в популярном наборе средств разработки (SDK), используемом в ряде приложений для видеозвонков, предоставлявшей возможность скрыто наблюдать за приватными видео- и аудиозвонками.

Речь идет о SDK производства американской компании Agora.io, используемом многочисленными приложениями, в том числе eHarmony, Plenty of Fish, MeetMe, Skout Talkspace и Practo. Обнаруженная в Agora SDK уязвимость (CVE-2020-25605) связана с ненадежным шифрованием и могла быть проэксплуатирована злоумышленниками для осуществления атак «человек посередине» и перехвата коммуникаций между участниками диалога.

Как пояснили эксперты, реализация Agora SDK не разрешала приложениям безопасно сконфигурировать настройки шифрования аудио и видео. В частности, функция, отвечающая за подключение конечного пользователя к звонку, передавала параметры (такие как App ID и токены аутентификации) в незашифрованном виде, что позволяло атакующему перехватить трафик, собрать информацию и запустить свое приложение Agora для скрытного подключения к звонкам.

Специалисты сообщили Agora.io о найденной уязвимости в апреле 2020 года, проблема была исправлена восемь месяцев спустя - в декабре 2020 года с выпуском версии 3.2.1. На данный момент нет свидетельств, что CVE-2020-25605 эксплуатировалась в реальных атаках, однако разработчикам, использующим SDK от Agora, настоятельно рекомендуется обновиться до исправленной версии продукта.