Vulnerabilidad CVE en Agora SDK que expone información sensible en servicios de videollamada
El día de ayer, 17 de febrero de 2021, los investigadores de McAfee Advanced Threat Research (ATR) publicaron una investigación en la que revelaban haber descubierto una nueva vulnerabilidad en el SDK de Agora que podría haber permitido a usuarios malintencionados obtener información sensible y unirse a llamadas y videollamadas de los usuarios sin el conocimiento de estos últimos.
Agora es una plataforma interactiva de vídeo, voz y servicios en directo, la cual permite a los desarrolladores incluir características de voz, videochat, grabaciones en tiempo real, etc. en sus aplicaciones.
Las aplicaciones afectadas que usan este SDK son, según los investigadores, eHarmony, Plenty of Fish, MeetMe, y Skout, además de algunas otras usadas especialmente en el sector sanitario, como Talkspace, Practo, y Dr. First’s Backline. Además, la aplicación para Android vinculada al robot personal «temi» también se ha visto afectada. Sin embargo, cabe destacar que el SDK de la compañía se usa actualmente en 1.7 billones de dispositivos a nivel mundial que van desde móviles hasta aplicaciones web y de escritorio.
La vulnerabilidad, con código CVE-2020-25605, viene dada por la transmisión de información sensible como el ID de Apple y tokens de autenticación en texto plano, posibilitando ataques como MITM (Man-in-the-middle). De esta manera el atacante podía hacerse con información suficiente para unirse a las videollamadas sin ser descubierto por los usuarios.
Captura de paquetes en Wireshark que muestra el envío de tokens en texto plano
Fuente de la imagen: McAfee
Aparte del uso de tokens de autenticación, según la documentación de Agora los desarrolladores también contaban con la opción de cifrar las videollamadas, algo que los investigadores de McAfee también pusieron a prueba, descubriendo que la información sensible seguía, aún así, transmitiéndose en texto plano. No obstante, con esta opción el atacante no podría ver ni escuchar la llamada, pero sí podría ser capaz de utilizar el App ID para hacer sus propias llamadas a costa de la aplicación del desarrollador.
A pesar de que no se encontraron evidencias de que esta vulnerabilidad haya sido explotada, se recomienda a quienes se vean afectado actualizar el SDK de Agora a su última versión; la vulnerabilidad fue reportada por los investigadores el 20 de abril de 2020 y fue corregida por Agora con la nueva versión de su SDK publicada el 17 de diciembre de ese mismo año.
Para una información más detallada sobre la investigación de McAfee se recomienda leer el informe publicado en su sitio web:
Ver información original al respecto en Fuente>
https://sangra.cat/mail/?_task=mail&_caps=pdf%3D1%2Cflash%3D0%2Ctiff%3D1%2Cwebp%3D0&_uid=3110&_mbox=INBOX.1HISPASEC&_safe=1&_action=show