Уязвимость в Agora SDK позволяла шпионить за приватными видеозвонками

Уязвимость в Agora SDK позволяла шпионить за приватными видеозвонками

Уязвимость связана с ненадежным шифрованием и могла быть использована для осуществления атак «человек посередине».

Специалисты подразделения McAfee Advanced Threat Research (ATR) сообщили об опасной уязвимости в популярном наборе средств разработки (SDK), используемом в ряде приложений для видеозвонков, предоставлявшей возможность скрыто наблюдать за приватными видео- и аудиозвонками.

Речь идет о SDK производства американской компании Agora.io, используемом многочисленными приложениями, в том числе eHarmony, Plenty of Fish, MeetMe, Skout Talkspace и Practo. Обнаруженная в Agora SDK уязвимость (CVE-2020-25605) связана с ненадежным шифрованием и могла быть проэксплуатирована злоумышленниками для осуществления атак «человек посередине» и перехвата коммуникаций между участниками диалога.

Как пояснили эксперты, реализация Agora SDK не разрешала приложениям безопасно сконфигурировать настройки шифрования аудио и видео. В частности, функция, отвечающая за подключение конечного пользователя к звонку, передавала параметры (такие как App ID и токены аутентификации) в незашифрованном виде, что позволяло атакующему перехватить трафик, собрать информацию и запустить свое приложение Agora для скрытного подключения к звонкам.

Специалисты сообщили Agora.io о найденной уязвимости в апреле 2020 года, проблема была исправлена восемь месяцев спустя - в декабре 2020 года с выпуском версии 3.2.1. На данный момент нет свидетельств, что CVE-2020-25605 эксплуатировалась в реальных атаках, однако разработчикам, использующим SDK от Agora, настоятельно рекомендуется обновиться до исправленной версии продукта.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!