ニュース
マカフィー、Clubhouseでも利用されているAgora SDKに存在した脆弱性の調査結果を開示
2021年2月22日 17:51
マカフィーは、同社のAdvanced Threat Research(ATR)チームが2020年初頭に発見した、中国Agora.io(Agora、声網)のリアルタイムビデオ通話・ライブ配信SDK「Agora Video SDK」に存在した脆弱性について、調査結果を開示した。
中国Agoraのリアルタイムビデオ通話・ライブ配信SDK「Agora Video SDK」は、複数のプラットフォーム上のアプリケーションを通じた音声・ビデオ通信に使用されるSDK。同SDKは、2020年4月にリリースされた「Clubhouse」でも利用されている。
マカフィーのATRチームは2020年の初頭、同SDK上に暗号化されていない個人情報などの機密情報がネットワークを通じて送信される脆弱性を発見した。攻撃者がこれを利用すると、進行中のプライベートビデオ通信やオーディオ通話を盗聴できた可能性があるとしている。
同社は2020年4月20日に脆弱性をAgoraに報告し、これをうけてAgoraは2020年12月17日の時点で、脆弱性を軽減した新しいSDK(バージョン3.2.1)をリリースしている。
同SDKを利用するアプリのうち、日本国内で著名とされているClubhouseは、すでに新バージョンのSDKに切り替えたアプリをリリースしている。しかし、2月18日時点でまだSDKを更新していないアプリも多く存在していることをマカフィーは報告している。
アプリ名 | インストール数 | アプリのバージョン | アプリのバージョン日付 | Agora SDKの更新 |
MeetMe | 5000万以上 | 14.24.4.2910 | 2/9/2021 | Yes |
LOVOO | 5000万以上 | 93.0 | 2/15/2021 | No |
Plenty of Fish | 5000万以上 | 4.36.0.1500755 | 2/5/2021 | No |
SKOUT | 5000万以上 | 6.32.0 | 2/3/2021 | Yes |
Tagged | 1000万以上 | 9.32.0 | 12/29/2020 | No |
GROWLr | 1000万以上 | 16.1.1 | 2/11/2021 | No |
eharmony | 500万以上 | 8.16.2 | 2/5/2021 | Yes |
Practo | 500万以上 | 4.93 | 1/26/2021 | No |
Clubhouse | 200万以上 | 0.1.2.8 | 2/16/2021 | Yes |