Un bug de SDK permet d’espionner les appels vidéos

0

Une vulnérabilité dans un SDK (Software Development Kit ou kit de développement de logiciel) qui permet aux utilisateurs de passer des appels vidéo dans des applications telles que eHarmony, Plenty of Fish, MeetMe et Skout permet aux pirates informatiques d’espionner les appels privés à l’insu de l’utilisateur.

Les chercheurs ont découvert la faille, CVE-2020-25605, dans un SDK d’appel vidéo d’une société basée à Santa Clara, en Californie, appelée Agora, lors d’un audit de sécurité l’année dernière d’un robot personnel appelé «temi», qui utilise la boîte à outils.

Agora fournit des outils de développement et des blocs de construction pour fournir un engagement en temps réel dans les applications. La documentation et les référentiels de code pour ses SDK sont disponibles en ligne. Les applications de santé telles que Talkspace, Practo et Dr. First’s Backline, entre autres, utilisent également ce SDK pour leur technologie d’appel.

Ce bug de SDK pourrait avoir impacté des millions de personnes

En raison de son utilisation partagée dans un certain nombre d’applications populaires, la faille a le potentiel d’affecter «des millions – potentiellement des milliards – d’utilisateurs», a déclaré Douglas McKee, ingénieur principal et chercheur principal en sécurité chez McAfee Advanced Threat Research (ATR). .

McKee a déclaré qu’il n’avait pas trouvé de preuve montrant que la faille était exploitée dans la nature.

Cette faille permet aux tiers d’accéder facilement aux détails sur la configuration des appels vidéo à partir du SDK à travers diverses applications en raison de leur transmission en clair et non chiffrée. Cela ouvre la voie aux attaquants distants pour «obtenir l’accès à l’audio et à la vidéo de tout appel vidéo Agora en cours grâce à l’observation du trafic réseau en texte clair», selon la description du CVE de la vulnérabilité.

caméra sdk

Les chercheurs ont signalé cette trouvaille à Agora.io le 20 avril 2020. La faille est restée inchangée pendant environ huit mois jusqu’au 17 décembre 2020, lorsque la société a publié un nouveau SDK, version 3.2.1, «qui a atténué la vulnérabilité et éliminé la menace pour les utilisateurs », a déclaré McKee.

Les chercheurs ont d’abord été alertés d’un problème lorsque, lors de leur analyse de l’écosystème temi, ils ont trouvé une clé codée en dur dans l’application Android qui s’associe au robot temi. Après une exploration plus approfondie, ils ont trouvé une connexion au SDK Agora grâce à une «journalisation détaillée» par les développeurs sur le tableau de bord d’Agora.io, a déclaré McKee.

Lors de l’examen du SDK vidéo d’Agora, les chercheurs ont découvert qu’il permettait d’envoyer des informations en texte clair sur le réseau pour lancer un appel vidéo. Ils ont ensuite effectué des tests en utilisant des exemples d’applications d’Agora pour voir si des tiers pouvaient tirer parti de ce scénario pour espionner un utilisateur.

La faille du SDK permet aux pirates de contourner le chiffrement

Ce qu’ils ont découvert à travers une série d’étapes, c’est qu’ils peuvent créer un scénario d’attaque qui affecte diverses applications utilisant le SDK, selon McKee. De plus, les hackers peuvent détourner des détails clés sur les appels passés à partir des applications, même si le chiffrement est activé sur l’application, a-t-il déclaré.

La première étape pour un attaquant qui veut exploiter la vulnérabilité est d’identifier le trafic réseau approprié qu’il souhaite cibler. ATR y est parvenu en créant une couche réseau en moins de 50 lignes de code en utilisant un framework Python appelé Scapy «pour aider à identifier facilement le trafic qui intéresse l’attaquant», a expliqué McKee.

«Cela a été fait en examinant le trafic des appels vidéo et en procédant à une ingénierie inverse du protocole», a-t-il déclaré. De cette façon, les chercheurs ont pu détecter le trafic réseau pour recueillir des informations relatives à un appel, puis lancer leurs propres applications vidéo Agora pour rejoindre l’appel, «complètement à l’insu des utilisateurs normaux», a écrit McKee.

Alors que les développeurs ont la possibilité dans le SDK de Agora de crypter l’appel, les détails clés sur les appels sont toujours envoyés en texte clair, permettant aux attaquants d’acquérir ces valeurs et d’utiliser l’ID de l’application associée «pour héberger leurs propres appels», a expliqué McKee.

Cependant, si les développeurs chiffrent les appels à l’aide du SDK, les attaquants ne peuvent pas voir la vidéo ni entendre l’audio de l’appel, a-t-il déclaré. Pourtant, bien que ce chiffrement soit disponible, il n’est pas largement adopté, a ajouté McKee, «rendant cette atténuation largement impraticable» pour les développeurs.

Autres applications impactées

En fait, en plus de temi, les chercheurs ont examiné un échantillon des applications sur Google Play qui utilisent Agora – y compris MeetMe, Skout et Nimo TV – et ont constaté que les quatre applications ont des identifiants d’application codés en dur qui permettent d’accéder aux détails des appels et n’activent pas le cryptage.

«Même si les fonctions de cryptage sont appelées, les développeurs d’applications désactivent en fait le cryptage en se basant sur cette documentation», a expliqué McKee. «Sans le cryptage activé et les informations de configuration transmises en texte clair, un attaquant peut espionner un très large éventail d’utilisateurs.»

ATR a déclaré que la société «était très réceptive et réactive à la réception» d’informations sur la vulnérabilité, et qu’après avoir testé le SDK, la société «peut confirmer que CVE-2020-25605 a été totalement mitigé».

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire