Vulnerabilidad CVE en Agora SDK que expone información sensible en servicios de videollamada

 

El día de ayer, 17 de febrero de 2021, los investigadores de McAfee Advanced Threat Research (ATR) publicaron una investigación en la que revelaban haber descubierto una nueva vulnerabilidad en el SDK de Agora que podría haber permitido a usuarios malintencionados obtener información sensible y unirse a llamadas y videollamadas de los usuarios sin el conocimiento de estos últimos.

Agora es una plataforma interactiva de vídeo, voz y servicios en directo, la cual permite a los desarrolladores incluir características de voz, videochat, grabaciones en tiempo real, etc. en sus aplicaciones.

Las aplicaciones afectadas que usan este SDK son, según los investigadores, eHarmony, Plenty of Fish, MeetMe, y Skout, además de algunas otras usadas especialmente en el sector sanitario, como Talkspace, Practo, y Dr. First’s Backline. Además, la aplicación para Android vinculada al robot personal «temi» también se ha visto afectada. Sin embargo, cabe destacar que el SDK de la compañía se usa actualmente en 1.7 billones de dispositivos a nivel mundial que van desde móviles hasta aplicaciones web y de escritorio.

La vulnerabilidad, con código CVE-2020-25605, viene dada por la transmisión de información sensible como el ID de Apple y tokens de autenticación en texto plano, posibilitando ataques como MITM (Man-in-the-middle). De esta manera el atacante podía hacerse con información suficiente para unirse a las videollamadas sin ser descubierto por los usuarios.

Captura de paquetes en Wireshark que muestra el envío de tokens en texto plano

 

Fuente de la imagen: McAfee

Aparte del uso de tokens de autenticación, según la documentación de Agora los desarrolladores también contaban con la opción de cifrar las videollamadas, algo que los investigadores de McAfee también pusieron a prueba, descubriendo que la información sensible seguía, aún así, transmitiéndose en texto plano. No obstante, con esta opción el atacante no podría ver ni escuchar la llamada, pero sí podría ser capaz de utilizar el App ID para hacer sus propias llamadas a costa de la aplicación del desarrollador.

A pesar de que no se encontraron evidencias de que esta vulnerabilidad haya sido explotada, se recomienda a quienes se vean afectado actualizar el SDK de Agora a su última versión; la vulnerabilidad fue reportada por los investigadores el 20 de abril de 2020 y fue corregida por Agora con la nueva versión de su SDK publicada el 17 de diciembre de ese mismo año.

Para una información más detallada sobre la investigación de McAfee se recomienda leer el informe publicado en su sitio web:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/dont-call-us-well-call-you-mcafee-atr-finds-vulnerability-in-agora-video-sdk/

 

 

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies