ثغرة في Agora SDK تعرض تطبيقات مكالمات الفيديو لخطر التطفل

كشفت McAfee عن العيوب (CVE-2020-25605) إلى Agora.io في 20 أبريل 2020 ، وبعد ذلك أصدرت الشركة SDK جديد في 17 ديسمبر 2020 ، لعلاج التهديد الذي تشكله الضعف.كان من الممكن أن يتم الاستفادة من الضعف الأمني ، وهو نتيجة للتشفير غير المكتمل ، من قبل الجهات الفاعلة السيئة لإطلاق هجمات الرجل في الوسط واعتراض الاتصالات بين طرفين

إدارة ميكسي نيوز

منذأسبوعين

ثغرة في Agora SDK تعرض تطبيقات مكالمات الفيديو لخطر التطفل

متابعات-ميكسي نيوز

Agora SDK…..كان من الممكن أن يسمح ثغرة أمنية شديدة في مجموعة تطوير برامج الاتصال بالفيديو (SDK) للمهاجم بالتجسس على مكالمات الفيديو والصوت الخاصة المستمرة.

هذا وفقًا لبحث جديد المنشورة من قبل فريق McAfee Advanced That Research (ATR) اليوم ، الذي وجد العيوب المذكورة أعلاه في SDK Agora.io تستخدمه العديد من التطبيقات الاجتماعية مثل Eharmony ، والكثير من الأسماك ، و MeetMe ، و Skout ؛ تطبيقات الرعاية الصحية مثل Talkspace و Erganso و Dr. First Backline ؛ وفي تطبيق Android المقترن بروبوت شخصي “Temi”.

Agora ومقرها كاليفورنيا عبارة عن منصة مقطع فيديو وصوت ودفق تفاعلي مباشر ، مما يسمح للمطورين بتضمين الدردشة الصوتية والفيديو ، والتسجيل في الوقت الفعلي ، والبث المباشر التفاعلي ، والرسائل في الوقت الفعلي في تطبيقاتهم. يُقدر أن SDKs للشركة مضمنة في تطبيقات الأجهزة المحمولة والويب والسطح المكتبي عبر أكثر من 1.7 مليار جهاز على مستوى العالم.

كشفت McAfee عن العيوب (CVE-2020-25605) إلى Agora.io في 20 أبريل 2020 ، وبعد ذلك أصدرت الشركة SDK جديد في 17 ديسمبر 2020 ، لعلاج التهديد الذي تشكله الضعف.

كان من الممكن أن يتم الاستفادة من الضعف الأمني ، وهو نتيجة للتشفير غير المكتمل ، من قبل الجهات الفاعلة السيئة لإطلاق هجمات الرجل في الوسط واعتراض الاتصالات بين طرفين.

وقال الباحثون: “لم يسمح تطبيق SDK الخاص بـ Agora للتطبيقات بتكوين إعداد تشفير الفيديو/الصوت بشكل آمن ، مما يترك إمكانية للمتسللين على التطفل عليها”.

على وجه التحديد ، تم إقرار الوظيفة المسؤولة عن توصيل المستخدم النهائي بالمعلمات مثل معرف التطبيق ومعلمة رمز المصادقة في النص العادي ، وبالتالي السماح للمهاجم بإساءة استخدام هذا العيب في استنشاق حركة الشبكة حتى لجمع معلومات المكالمات ثم إطلاق تطبيق فيديو Agora الخاص بهم لالتقاط المكالمات دون معرفة الحاضرين.

على الرغم من عدم وجود دليل على أن الضعف تم استغلاله في البرية ، إلا أن التطوير يؤكد مرة أخرى على الحاجة إلى تأمين التطبيقات لحماية خصوصية المستخدم.

وخلص الباحثون إلى أن “في عالم المواعدة عبر الإنترنت ، قد يؤدي باحثو المهاجم إلى الابتزاز أو المضايقة من قبل المهاجم”. “يتم استخدام تطبيقات مطور Agora الأخرى مع قواعد العملاء الأصغر ، مثل روبوت Temi ، في العديد من الصناعات مثل المستشفيات ، حيث يمكن أن تؤدي القدرة على التجسس على المحادثات إلى تسرب المعلومات الطبية الحساسة.”

يوصى بشدة أن يستخدم المطورون Agora SDK الترقية إلى أحدث إصدار للتخفيف من المخاطر.