2021年2月17日、マカフィーは、ビデオ会議ベンダーであるAgora Incとの10ヵ月にわたる開示プロセスに基づいて調査結果を開示しました。2020年4月にAgoraに調査結果を開示したため、この長い開示スケジュールは当社の非標準プロセスとなりますが、安全なSDKの開発とリリースに十分な時間を与えるためのベンダーとの共同合意がありました。脆弱性を軽減するSDKのリリースは、2020年12月17日に行なわれました。ビデオおよびオーディオ通話のスヌーピングとスパイの影響を考えると、Agoraに開示時間を延長することが重要であると感じました。Agoraの影響を受けるユーザーには、人気のある音声およびビデオメッセージングアプリが含まれます。注目すべきアプリケーションのひとつは、Clubhouseとして知られる人気の新しいiOSアプリです。
Clubhouseは最近、ソーシャルネットワーキング分野の最新プレーヤーのひとつとして注目を集めているアプリで、Elon Musk、Kanye Westなど、さまざまな地域のインフルエンサーがプラットフォームについて投稿し、人気が高まっています。2020年4月にリリースされたClubhouseは、デリケートな社会的および政治的トピックを議論するためのプラットフォームとして、中国のソーシャルメディアのニッチをすばやく切り開きました。招待制ということや、主要なプレーヤーたちなどによって注目されるようになり、今年の初めにさらに話題になりました。そして当然のことながら、アプリケーションは2021年2月8日に中国での使用がブロックされました。
先週、Stanford Internet Observatory(SIO)は、人気のClubhouseアプリによるAgoraリアルタイムエンゲージメントソフトウェアの使用に関する調査を発表し、Agoraが中国政府にClubhouseユーザー情報と通信へのアクセスを提供できた可能性があることを示唆しました。スタンフォードの開示の詳細は、ビデオSDKでの作業と比較して、オーディオSDKに焦点を当てていますが、機能と欠陥は、最近の開示であるCVE-2020-25605と同様です。これには、アプリID、チャネルID、トークンのプレーンテキスト送信が含まれます。これは、音声通話またはビデオ通話に参加するために必要な資格情報です。私たちは、Clubhouseが2月16日にAgora SDKの最新バージョンに更新されたことを確認しています。これは、今回の脆弱性に関する公開の1日前でした。
Clubhouseを取り巻く最近の騒ぎにもかかわらず、現実には、このアプリケーションはAgora SDKを活用する多くのアプリケーションのひとつにすぎません。特に、ソーシャルアプリeHarmony、Skout、MeetMeと、広く使用されているヘルスケアアプリを調査しました。そのうちのいくつかは、ユーザーベースが大幅に大きくなっています。たとえば、MeetGroup(複数のアプリで構成)は、2020年12月の時点で合計およそ60万人ユーザーのClubhouseと比較して、月間およそ1800万人のユーザーを報告しています。
これらのデータポイントを強調することが重要であると感じ、これらのアプリケーションを調査し続け、この脆弱性を悪用する悪意のある攻撃者の潜在的なインスタンスを監視しています。Agoraが通話設定の問題を修正する更新されたSDKをリリースしたことを考えると、脆弱なアプリケーションは、すでに安全なSDKに切り替えているはずです。これにより、多くの人が主張するように、機密性の高い音声およびビデオ通話データが保護されます。そのことを念頭に置いて、以前に調査したAgoraベースのアプリのいくつかを再度チェックインして、パッチが適用されたバージョンに更新されているかどうかを確認することにしました。しかし2020年2月18日の時点で、まだ多くのアプリで更新されていないことがわかり、驚いています。
アプリ名 | インストール | アプリバージョン | アプリのバージョン日付 | Agora SDKの更新 |
---|---|---|---|---|
MeetMe | 50,000,000+ | 14.24.4.2910 | 2/9/2021 | Yes |
LOVOO | 50,000,000+ | 93.0 | 2/15/2021 | No |
Plenty of Fish | 50,000,000+ | 4.36.0.1500755 | 2/5/2021 | No |
SKOUT | 50,000,000+ | 6.32.0 | 2/3/2021 | Yes |
Tagged | 10,000,000+ | 9.32.0 | 12/29/2020 | No |
GROWLr | 1,000,000+ | 16.1.1 | 2/11/2021 | No |
eharmony | 5,000,000+ | 8.16.2 | 2/5/2021 | Yes |
Clubhouse | 2,000,000+ | 0.1.2.8 | 2/16/2021 | Yes |
Practo | 5,000,000+ | 4.93 | 1/26/2021 | No |
検閲と基本的なプライバシーの懸念に関するコンテキストで、脆弱なSDKを使用するこれらのアプリや他の多くのアプリが迅速に、またはこれまでに更新されているかどうか、およびこれらのタイプの調査結果がソーシャルメディアプラットフォームに対するユーザーの信用と信頼にどのような永続的な影響を与えるかを確認することは興味深いでしょう。
McAfee ATRによるAgora SDKの調査の詳細については、技術調査ブログをご覧ください。
このようなアプリを使用するときにユーザーが自分自身を保護する方法については、消費者の安全に関するヒントのブログをご覧ください。
※本ページの内容は2021年2月18日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Beyond Clubhouse: Vulnerable Agora SDKs Still in Widespread Use
著者:Steve Povolny,Douglas McKee and Mark Bereza