Error del SDK de Agora dejó varias aplicaciones de videollamadas vulnerables

Una vulnerabilidad de seguridad grave en un popular kit de desarrollo de software de videollamadas (SDK) podría haber permitido a un atacante espiar las llamadas de audio y vídeo privadas en curso.

Eso es según una nueva investigación publicada hoy por el equipo de McAfee Advanced Threat Research (ATR), que encontró la falla mencionada anteriormente en el SDK de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta utilizado por varias aplicaciones sociales como eHarmony, Plenty of Fish, MeetMe y Skout; aplicaciones sanitarias como Talkspace, Practo y Dr. First's Backline; y en la aplicación de Android que está emparejada con el robot personal "temi".

Agora, con sede en California, es una plataforma de transmisión interactiva de video, voz y en vivo que permite a los desarrolladores incorporar chat de voz y video, grabación en tiempo real, transmisión en vivo interactiva y mensajería en tiempo real en sus aplicaciones. Se estima que los SDK de la empresa están integrados en aplicaciones móviles, web y de escritorio en más de 1.700 millones de dispositivos en todo el mundo.

McAfee reveló la falla (CVE-2020-25605) a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta el 20 de abril de 2020, luego de lo cual la compañía lanzó un nuevo SDK el 17 de diciembre de 2020, para remediar la amenaza que representa la vulnerabilidad.

La debilidad de la seguridad, que es la consecuencia de un cifrado incompleto, podría haber sido aprovechada por los malos actores para lanzar ataques de intermediario e interceptar las comunicaciones entre dos partes.

Citar"La implementación del SDK de Agora no permitía que las aplicaciones configuraran de forma segura la configuración del cifrado de video / audio, lo que dejaba un potencial para que los piratas informáticos pudieran espiarlos", dijeron los investigadores.

Específicamente, la función responsable de conectar a un usuario final a una llamada pasó parámetros como el ID de la aplicación y el parámetro del token de autenticación en texto plano, lo que le permite a un atacante abusar de esta deficiencia para olfatear el tráfico de la red a fin de recopilar información de la llamada y posteriormente lanzar la suya propia. Aplicación de video Agora para marcar llamadas sin que los asistentes lo sepan de manera sigilosa.

Aunque no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, el desarrollo una vez más subraya la necesidad de proteger las aplicaciones para salvaguardar la privacidad del usuario.

"En el mundo de las citas en línea, una violación de la seguridad o la capacidad de espiar las llamadas podría conducir al chantaje o al acoso de un atacante", concluyeron los investigadores. "Otras aplicaciones de desarrollo de Agora con bases de clientes más pequeñas, como el robot temi, se utilizan en numerosas industrias, como hospitales, donde la capacidad de espiar conversaciones podría conducir a la filtración de información médica confidencial".

Se recomienda encarecidamente que los desarrolladores que utilizan Agora SDK se actualicen a la última versión para mitigar el riesgo.

Vía: The Hacker News