ニュース

マカフィー、Clubhouseでも利用されているAgora SDKに存在した脆弱性の調査結果を開示

 マカフィーは、同社のAdvanced Threat Research(ATR)チームが2020年初頭に発見した、中国Agora.io(Agora、声網)のリアルタイムビデオ通話・ライブ配信SDK「Agora Video SDK」に存在した脆弱性について、調査結果を開示した。

 中国Agoraのリアルタイムビデオ通話・ライブ配信SDK「Agora Video SDK」は、複数のプラットフォーム上のアプリケーションを通じた音声・ビデオ通信に使用されるSDK。同SDKは、2020年4月にリリースされた「Clubhouse」でも利用されている。

 マカフィーのATRチームは2020年の初頭、同SDK上に暗号化されていない個人情報などの機密情報がネットワークを通じて送信される脆弱性を発見した。攻撃者がこれを利用すると、進行中のプライベートビデオ通信やオーディオ通話を盗聴できた可能性があるとしている。

 同社は2020年4月20日に脆弱性をAgoraに報告し、これをうけてAgoraは2020年12月17日の時点で、脆弱性を軽減した新しいSDK(バージョン3.2.1)をリリースしている。

 同SDKを利用するアプリのうち、日本国内で著名とされているClubhouseは、すでに新バージョンのSDKに切り替えたアプリをリリースしている。しかし、2月18日時点でまだSDKを更新していないアプリも多く存在していることをマカフィーは報告している。

Agora Video SDKベースのアプリの対応状況(マカフィーによる)
アプリ名インストール数アプリのバージョンアプリのバージョン日付Agora SDKの更新
MeetMe5000万以上14.24.4.29102/9/2021Yes
LOVOO5000万以上93.02/15/2021No
Plenty of Fish5000万以上4.36.0.15007552/5/2021No
SKOUT5000万以上6.32.02/3/2021Yes
Tagged1000万以上9.32.012/29/2020No
GROWLr1000万以上16.1.12/11/2021No
eharmony500万以上8.16.22/5/2021Yes
Practo500万以上4.931/26/2021No
Clubhouse200万以上0.1.2.82/16/2021Yes