ทีม McAfee Advanced Threat Research (ATR) ได้เปิดเผยรายละเอียดช่องโหว่ของชุดเครื่องมือ Software Development Kit (SDK) ที่ถูกใช้พัฒนา Video Calling ชื่อดังอย่าง Agora.io ที่อาจทำให้ผู้โจมตีสามารถทำการสอดแนมการสนทนาแบบวิดีโอและเสียงส่วนตัวของผู้ใช้ได้ในขณะที่กำลังดำเนินการใช้งานอยู่และถูกใช้โดยแอปพลิเคชันโซเชียลมีเดียหลายตัว เช่น Clubhouse, eHarmony, Plenty of Fish, MeetMe, Skout, Talkspace, Practo, Backline และ temi
ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-25605 ในชุดเครื่องมือ SDK ของ Agora.io ที่เกิดจากการที่ SDK ของ Agora ไม่อนุญาตให้แอปพลิเคชันกำหนดค่าการตั้งค่าการเข้ารหัสวิดีโอ/เสียงอย่างปลอดภัย ซึ่งอาจถูกนำไปใช้ประโยชน์จากผู้ไม่หวังดีเพื่อทำการโจมตีแบบ Man-in-the-middle Attack และยังสามารถทำให้ผู้โจมตีสอดแนม, ขัดขวางหรือแทรกแซงการสื่อสารระหว่างผู้โทรและผู้รับได้
ทั้งนี้ผู้พัฒนาที่ใช้ชุดเครื่องมือ SDK ของ Agora.io ควรทำการอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง สำหรับผู้ใช้แอปพลิเคชันโซเชียลมีเดียที่กล่าวมาข้างต้นควรทำการอัปเดตแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย
ที่มา: thehackernews
You must be logged in to post a comment.