Agora SDK漏洞导致多个视频通话应用容易被窥探

流行的视频通话软件开发工具包（SDK）中存在严重的安全漏洞，使得攻击者能够监视正在进行的私人视频和音频通话。

这是根据McAfee Advanced Threat research（ATR）团队今天发表的新研究得出的，该团队在Agora中发现了上述缺陷。io的SDK被几个社交应用程序使用，比如eHarmony、Foundy of Fish、MeetMe和Skout；医疗保健应用程序，如Talkspace、Practo和Dr.First的Backline；在与“temi”个人机器人配套的Android应用程序中。

总部位于加利福尼亚州的Agora是一个视频、语音和实时交互式流媒体平台，允许开发者将语音和视频聊天、实时录制、交互式实时流媒体和实时消息嵌入到他们的应用程序中。据估计，该公司的SDK将嵌入全球超过17亿台设备的移动、网络和桌面应用程序中。

McAfee向Agora透露了该漏洞（CVE-2020-25605）。io于2020年4月20日发布，随后该公司于2020年12月17日发布了一个新的SDK，以弥补该漏洞带来的威胁。

安全漏洞是不完全加密的结果，可能被坏人利用，发起中间人攻击并拦截双方之间的通信。

研究人员说：“Agora的SDK实现不允许应用程序安全地配置视频/音频加密设置，因此黑客可能会窥探到它们。”。

具体而言，负责将最终用户连接到呼叫的函数传递参数，如应用ID和明文认证令牌参数，从而允许攻击者利用这一缺陷嗅探网络流量，以收集通话信息，并随后启动自己的Agora视频应用程序，在与会者不知情的情况下拨打电话。

虽然没有证据表明该漏洞是在野外被利用的，但这一发展再次强调了保护应用程序以保护用户隐私的必要性。

研究人员得出结论：“在网络约会的世界里，安全漏洞或监听电话的能力可能会导致攻击者敲诈或骚扰。”。“其他客户群较小的Agora开发者应用程序，如temi robot，被用于医院等许多行业，在这些行业中，监听对话的能力可能导致敏感医疗信息的泄露。”

强烈建议使用Agora SDK的开发者升级至最新版本，以降低风险。