Anmelden


SDK-Fehler ermöglicht es Angreifern, Videoanrufe über Dating- und Gesundheits-Apps auszuspionieren

Eine neu aufgedeckte Sicherheitslücke ermöglicht es Bedrohungsakteuren, private Anrufe ohne Wissen des Benutzers auszuspionieren. Die Schwachstelle befindet sich in einem SDK für Videoanrufe in Apps wie eHarmony, Plenty of Fish, MeetMe und Skout. Sicherheitsforscher haben den Fehler mit der CVE-2020-25605 in einem SDK für Videoanrufe des in Santa Clara, Kalifornien, ansässigen Unternehmens Agora gefunden. Erstmals wurde der Fehler im vergangenen Jahr im Rahmen eines Sicherheitsaudits des persönlichen Roboters „temi“ aufgedeckt, der dasselbe Toolkit verwendet.

Das SDK kommt in einer ganzen Reihe beliebter Apps zum Einsatz und hat das Potenzial, “Millionen, möglicherweise Milliarden von Nutzern“ zu beeinträchtigen. Bislang gibt es allerdings noch keine Hinweise darauf, dass der Fehler tatschlich ausgenutzt wurde.

Die Schwachstelle erlaubt es Dritten auf Details zuzugreifen wie man aus dem SDK heraus Videoanrufe über verschiedene Apps hinweg einrichtet. Dies ist möglich, dank der unverschlüsselten Übertragung im Klartext. Laut CVE-Beschreibung erlaubt die Schwachstelle Remote-Angreifern „über die Beobachtung des Netzwerkverkehrs im Klartext auf die Audio- und Video-Übertragung eines laufenden Agora-Videoanrufs zuzugreifen“.

Weitere Informationen liefert dieser Beitrag: https://threatpost.com/sdk-bug-spy-calls-dating-healthcare-apps/164068/

Kommentar von Boris Cipot, Senior Sales Engineer bei Synopsys:  “Die Schwachstelle CVE-2020-25606 im Agora Video-SDK ermöglicht es einem Angreifer, sich in einen Video-Anruf einzuklinken und auf die Audio- und Video-Übertragung zuzugreifen. Dazu muss sich ein Angreifer nur den Netzwerkverkehr im Klartext ansehen, und er erhält alle nötigen Details. Allerdings findet sich die besagte Schwachstelle auch in den Agora Video SDK-Versionen vor der Version 3.1. Daher ist es unbedingt empfehlenswert, die Komponente oder die Software, die sie verwendet, zu aktualisieren, um diesen Angriffsvektor auszuschließen.

Welche Software man auch immer verwendet, und unabhängig davon, ob aus privaten oder beruflichen Gründen, wesentlich ist, die Software und ihre Entwicklung stets genau zu beobachten. Software ist komplexe Technologie, und sie ändert sich ständig. Selbst wenn alle Beteiligten versuchen, sämtliche Fehler und Sicherheitslücken vor der Veröffentlichung zu beheben, ist es trotzdem an der Tagesordnung, dass Schwachstellen noch Wochen, Monate oder in einigen Fällen sogar Jahre nach dem Veröffentlichungsdatum identifiziert werden. 

Ganz zentral ist es deshalb, sicherzustellen, dass man die neuste Version oder doch zumindest eine Version ohne Sicherheitslücken verwendet. In der Softwareentwicklung nutzt man üblicherweise Tools zur Software Composition Analysis, um den Status eines SDK und anderer Komponenten einer Software nachzuverfolgen. Aus ähnlichen Gründen verwendet man in der IT Software Asset Management-Tools. Im Home Office oder im privaten Umfeld muss sich der Benutzer allerdings selbst darum kümmern und wachsam bleiben. Aus diesem Grund verwendet Software, die vornehmlich in diesem Umfeld genutzt wird, automatisierte oder OTA-Updates (Over the Air). Damit muss der Benutzer lediglich automatisierte Updates aktivieren.“