Agora SDK에서 취약점 발견, 영상 통화 앱 다수 스누핑에 취약해

 

 

Agora SDK Bug Left Several Video Calling Apps Vulnerable to Snooping

 

인기있는 영상 통화 소프트웨어 개발 키트(SDK)의 심각한 보안 취약점으로 인해 공격자가 개인 영상 및 음성 통화를 스파잉할 수 있었던 것으로 나타났습니다.

 

McAfee ATR(Advanced Threat Research) 팀이 금일 발표한 새로운 연구결과에 따르면, 해당 취약점은 Agora.io의 SDK에서 발견되었습니다. 해당 SDK는 eHarmony, Plenty of Fish, MeetMe, Skout 등 소셜 앱, Talkspace, Practo, Dr. First's Backline 등 의료 앱, 개인 로봇인 ‘테미(Temi)’와 연동되는 안드로이드 앱 등에 사용됩니다.

 

캘리포니아에 위치한 Agora는 영상, 음성, 라이브 대화형 스트리밍 플랫폼으로 개발자들이 음성 및 영상 채팅, 실시간 녹음, 대화형 라이브 스트리밍, 실시간 메시지 기능을 앱에 추가할 수 있도록 합니다.

 

이 회사의 SDK는 전 세계 기기 17억 대 이상의 모바일, 웹, 데스크톱 애플리케이션에 내장된 것으로 추측됩니다.

 

McAfee는 해당 취약점을(CVE-2020-25605) 2020년 4월 20일 Agora.io에 제보했으며, 회사는 2020년 12월 17일 해당 취약점을 수정하는 새로운 SDK를 공개했습니다.

 

불완전한 암호화로 인한 이 보안 취약점은 악용될 경우 공격자가 중간자 공격을 실행하고 두 당사자간의 통신을 인터셉트할 수 있는 것으로 나타났습니다

 

 

<이미지 출처 : https://www.mcafee.com/blogs/other-blogs/mcafee-labs/dont-call-us-well-call-you-mcafee-atr-finds-vulnerability-in-agora-video-sdk/>

 

 

“Agora의 SDK는 애플리케이션이 영상/음성 암호화의 설정을 안전하게 구성하지 못하도록 구현되었기 때문에, 잠재적으로 해커가 스누핑할 수 있는 위험이 있습니다.”

 

특히 최종 사용자를 전화에 연결시키는 기능은 App ID 및 인증 토큰 파라미터를 순수 텍스트 형태로 전달하고 있어 네트워크 트래픽에 스니핑이 가능한 공격자는 호출 정보를 수집한 다음 그들의 Agora 영상 애플리케이션을 통해 참여자가 알지 못하도록 은밀히 전화를 걸 수 있습니다.

 

이 취약점이 실제 공격에 사용되었다는 증거는 아직까지 없지만, 사용자의 개인정보를 보호하기 위해 애플리케이션을 보호해야 할 필요성을 다시 한번 상기시킵니다.

 

Agora SDK를 사용하는 개발자는 위험을 완화하기 위해 최신 버전으로 업그레이드 할 것을 권장합니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/02/agora-sdk-bug-left-several-video.html

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/dont-call-us-well-call-you-mcafee-atr-finds-vulnerability-in-agora-video-sdk/