マカフィー、Clubhouseでも利用されているAgora SDKに存在した脆弱性の調査結果を開示

　マカフィーは、同社のAdvanced Threat Research（ATR）チームが2020年初頭に発見した、中国Agora.io（Agora、声網）のリアルタイムビデオ通話・ライブ配信SDK「Agora Video SDK」に存在した脆弱性について、調査結果を開示した。

　中国Agoraのリアルタイムビデオ通話・ライブ配信SDK「Agora Video SDK」は、複数のプラットフォーム上のアプリケーションを通じた音声・ビデオ通信に使用されるSDK。同SDKは、2020年4月にリリースされた「Clubhouse」でも利用されている。

　マカフィーのATRチームは2020年の初頭、同SDK上に暗号化されていない個人情報などの機密情報がネットワークを通じて送信される脆弱性を発見した。攻撃者がこれを利用すると、進行中のプライベートビデオ通信やオーディオ通話を盗聴できた可能性があるとしている。

　同社は2020年4月20日に脆弱性をAgoraに報告し、これをうけてAgoraは2020年12月17日の時点で、脆弱性を軽減した新しいSDK（バージョン3.2.1）をリリースしている。

　同SDKを利用するアプリのうち、日本国内で著名とされているClubhouseは、すでに新バージョンのSDKに切り替えたアプリをリリースしている。しかし、2月18日時点でまだSDKを更新していないアプリも多く存在していることをマカフィーは報告している。