• 研究者は、Black Hat 2019カンファレンスでWhatsAppの脆弱性をいくつか発見しました。
• この脆弱性により、悪役はチャットを操作できます。
• Facebookには脆弱性の修正プログラムはありません。

WhatsAppの最近のセキュリティ上の欠陥により、悪意のあるアクターがチャットを偽装し、あなたから来たように見せかけることができると、昨日Check Point Researchが報告しました。 Check Point Researchは、Black Hat 2019セキュリティカンファレンスでその結果を発表しました。

研究者によると、脆弱性を悪用する方法は3つありました。

1. グループの会話で「引用」機能を使用して、その人がグループのメンバーではない場合でも、送信者のIDを変更します。
2. 他の人の返信のテキストを変更し、基本的に言葉を口に入れます。
3. すべての人に公開されているように見せかけた別のグループ参加者にプライベートを送信します。そのため、対象の個人が応答すると、会話の全員に表示されます。

チェックポイントは、2018年8月にWhatsAppに脆弱性を通知しました。WhatsAppは3番目の方法を修正しました。しかし、研究者は引用されたsを操作し、それらを偽装することが依然として可能であることを発見しました。 Check Pointは、Burp Suit Extensionを使用して、WhatsAppのエンドツーエンド暗号化を解除し、チャットを復号化しました。ここで悪用可能な要素はWhatsAppのWebバージョンで、QRコードを使用して携帯電話とペアリングします。

Check Pointは、WhatsAppがQRコードを生成する前に作成された公開キーと秘密キーのペアを最初に取得しました。 QRコードのスキャン時に携帯電話からWhatsApp Webクライアントに送信される「シークレット」パラメーターと組み合わせて、Burp Suit Extensionを使用すると、sを簡単に監視および解読できます。

Facebookのスポークスマンは、次の声明を提供しました 次のWeb:

1年前にこの問題を慎重に検討しましたが、WhatsAppで提供するセキュリティに脆弱性があることを示唆するのは誤りです。ここで説明するシナリオは、メールスレッドの返信を変更して、誰かが書いていないもののように見せることに相当するモバイルに過ぎません。これらの研究者によって提起された懸念に対処すると、WhatsAppのプライベート性が低下する可能性があることに注意する必要があります。

残念ながら、同社はWhatAppの脆弱性の解決策を持っているようには見えません。メッセージングサービスはエンドツーエンドの暗号化を使用するため、Facebookはsの復号化されたバージョンにアクセスできません。つまり、悪意のある人物が前述の脆弱性を悪用した場合、Facebookは介入できません。