Еще в прошлом году эксперты компании McAfee обнаружили опасный баг в SDK Agora, который используется для реализации  аудио- и видеозвонков. Уязвимость, получившая идентификатор CVE-2020-2560, позволяла незаметно подключаться к чужим аудио- и видеозвонкам.

Схема атаки

Исследователи предупреждают, что Agora используют такие приложения, как MeetMe, Skout, Nimo TV, temi, Dr. First Backline, Hike, Bunch и Talkspace.Они имеют десятки миллионов загрузок только по официальной статистике Google Play Store.

Обнаруженная проблема заключается в том, что Agora SDK не шифрует данные, передаваемые в процессе совершения нового вызова, даже если в приложении включена функция шифрования. Из-за этого любой желающий, находящийся в той же сети, что и жертва, может перехватить трафик на начальных этапах вызова, извлечь из него различные ID, а затем тайно присоединиться к звонку. Эксперты подчеркивают, что они пока не наблюдали подобные атаки на практике.

 

Отчет McAfee гласит, что разработчики Agora SDK исправили баг еще в конце 2020 года и призвали всех обновиться. Однако специалистам неизвестно, в каких именно приложениях уже применяется новая, лишенная опасной проблемы версия SDK.

«В мире онлайн-знакомств нарушение безопасности или возможность прослушивать звонки могут закончиться шантажом или преследованием со стороны злоумышленника. Но другие приложения с меньшей клиентской базой, где разработчики тоже применяют Agora, такие как робот temi, используются в других сферах, включая больницы, где возможность шпионить за разговорами уже может привести к утечке конфиденциальной медицинской информации», — предупреждают аналитики.

 

1 комментарий

  1. Аватар

    0d8bc7

    18.02.2021 в 20:54

    Интересно, как при такой непрозрачности информации (например, когда «в приложении» что-то шифруется, но по факту используется какая-то кривая SDK) простые люди должны выбирать себе безопасные приложения?
    Я уже молчу о бекдорах, которые могут быть где угодно и о которых очень не любят говорить.
    Нужна какая-нибудь свободная (не привязанная к государствам, конторам, деньгам и т.д.) организация, способствующая организации адекватных систем рейтингов (как минимум, безопасности, хотя по другим критериям тоже можно) вычислительно-информационных систем.

Оставить мнение