Más allá de la casa club: los vulnerables SDK de Agora aún se utilizan de forma generalizada


El 17 de febreroth, 2021, McAfee reveló hallazgos basados ​​en un proceso de divulgación de 10 meses con el principal proveedor de videoconferencias Agora, Inc. Como revelamos los hallazgos a Agora en abril de 2020, este extenso plazo de divulgación representa un proceso no estándar para McAfee, pero fue un acuerdo conjunto con el proveedor para permitir el tiempo suficiente para el desarrollo y lanzamiento de un SDK seguro. El lanzamiento del SDK que mitiga la vulnerabilidad tuvo lugar el 17 de diciembreth, 2020. Dadas las implicaciones de fisgonear y espiar un video y llamadas de audio, sentimos que era importante brindarle a Agora el tiempo de divulgación extendido. Los usuarios afectados de Agora incluyen aplicaciones populares de mensajería de voz y video, y una aplicación notable es la nueva y popular aplicación de iOS conocida como Clubhouse.


Captura de pantalla de la aplicación de la casa club

Clubhouse ha aparecido en los titulares recientemente como uno de los jugadores más nuevos en la esfera de las redes sociales, ganando popularidad después de que una serie de usuarios de alto perfil, incluidos Elon Musk, Kanye West y personas influyentes en varias geografías, publicaran sobre la plataforma. Lanzado en abril de 2020, Clubhouse se abrió rápidamente un nicho en las redes sociales chinas como plataforma para debatir temas sociales y políticos delicados, tal vez con la ayuda de su enfoque de membresía solo por invitación, y el foco de atención de estos actores clave lo impulsó aún más al estado viral temprano este año. Quizás como era de esperar, la aplicación fue bloqueado para su uso en China el 8 de febreroth, 2021.

La semana pasada, Stanford Internet Observatory (SIO) investigación publicada sobre el uso de la popular aplicación Clubhouse del software de interacción en tiempo real Agora y sugirió que Agora podría haber proporcionado al gobierno chino acceso a la información y las comunicaciones de los usuarios de Clubhouse. Si bien los detalles de la divulgación de Stanford se centran en el SDK de audio en comparación con nuestro trabajo en el SDK de video, la funcionalidad y la falla son similares a nuestra divulgación reciente, CVE-2020-25605. Esto incluye la transmisión de texto sin formato de ID de aplicación, ID de canal y token: credenciales necesarias para unirse a llamadas de audio o video. Podemos confirmar que Clubhouse se actualizó a la versión más reciente del Agora SDK el 16 de febreroth – solo un día antes de nuestra divulgación pública.

A pesar del ruido reciente que rodea a Clubhouse, la realidad es que esta aplicación es solo una de las muchas aplicaciones que aprovechan el Agora SDK. Entre otras, investigamos las aplicaciones sociales eHarmony, Skout y MeetMe, junto con varias aplicaciones de atención médica ampliamente utilizadas, algunas de las cuales tienen una base de usuarios significativamente mayor. Por ejemplo, MeetGroup (compuesto por varias aplicaciones) informó aproximadamente 18 millones de usuarios mensuales en comparación con Clubhouse, que tenía aproximadamente 600.000 usuarios en total en diciembre de 2020.

Sentimos que era importante resaltar estos puntos de datos y continuamos investigando estas aplicaciones, así como monitoreando cualquier instancia potencial de actores maliciosos que exploten esta vulnerabilidad. Dado que Agora ha lanzado un SDK actualizado que corrige los problemas de configuración de llamadas, las aplicaciones vulnerables ya deberían haber cambiado al SDK de llamadas seguras, protegiendo así los datos confidenciales de llamadas de audio y video, como muchos afirman hacer. Con eso en mente, decidimos volver a consultar con algunas de las aplicaciones basadas en Agora que investigamos anteriormente para confirmar si se habían actualizado a la versión parcheada. Nos sorprendió ver que muchos, al 18 de febrero de 2020, aún no lo habían hecho:

Nombre de la aplicación Instala Version de aplicacion Fecha de la versión de la aplicación SDK de Agora actualizado
MeetMe 50.000.000+ 14.24.4.2910 9/02/2021
LOVOO 50.000.000+ 93,0 15/02/2021 No
Un montón de pescado 50.000.000+ 4.36.0.1500755 5/2/2021 No
SKOUT 50.000.000+ 6.32.0 03/02/2021
Etiquetado 10,000,000+ 9.32.0 29/12/2020 No
GROWLr 1,000,000+ 16.1.1 11/02/2021 No
armonía 5,000,000+ 8.16.2 5/2/2021
Casa club 2,000,000+ 0.1.2.8 16/02/2021
Practo 5,000,000+ 4,93 26/01/2021 No

Con el contexto en torno a la censura y las preocupaciones básicas de privacidad, será interesante ver si estas y muchas otras aplicaciones que utilizan el SDK vulnerable se actualizan rápidamente, o incluso alguna vez, y qué tipo de efectos duraderos tienen estos tipos de hallazgos en la confianza y la seguridad de los usuarios. en plataformas de redes sociales.

Para obtener más información sobre la investigación de McAfee ATR sobre el Agora SDK, consulte nuestro blog de investigación técnica.

Para obtener información sobre cómo los usuarios pueden protegerse al usar dichas aplicaciones, consulte nuestro blog de consejos de seguridad para el consumidor.





Enlace a la noticia original