世界で最も人気のあるメッセージング アプリは、超安全な要塞であると主張しているかもしれませんが、WhatsApp の重大なセキュリティ上の欠陥が明らかになったことで、おそらく再考する必要があるかもしれません。
ドイツ のルール大学ボーフムのセキュリティ研究者は 、WhatsApp、Signal、Threema などの暗号化されたメッセージング アプリに多数のセキュリティ脆弱性を発見しました。チームは今週水曜日にチューリッヒで開催されたリアルワールドクリプトセキュリティカンファレンスで調査結果を明らかにした。前述の 3 つのアプリはすべて何らかの脆弱性の影響を受けていますが、WhatsApp に影響を与えるものが最も深刻であるようです。
研究者らによると、Facebook が所有するチャット アプリには固有の設計上の欠陥があり、エンドツーエンドの暗号化が約束されているにもかかわらず、WhatsApp サーバーを制御している人は誰でも、管理者の許可を必要とせずにプライベート グループ チャットに新しいユーザーを挿入できるようになっています。
グループのすべてのメンバーは引き続き、グループへの新しいメンバーに関する通知を受け取りますが、ルール大学チームは、WhatsApp サーバーを制御している知的なハッカーが、いくつかの異なる回避策を使用して、検出を回避、または少なくとも遅延させることができると述べています。
WhatsAppの反応
WhatsAppは研究者の調査結果を認めたが、同社の広報担当者は Wiredとの電話会談 で、グループへの新規参加者については既存の各メンバーに通知が送られると依然として主張した。報告書は、WhatsAppのセキュリティ上の欠陥について、「グループメッセージが非表示のユーザーに送信されないようにWhatsAppを構築した」と広報担当者が電子メールで述べたと伝えている。
一方、Facebookの最高セキュリティ責任者のアレックス・ステイモス氏は公開ツイートで調査結果を否定した。
https://twitter.com/alexstamos/status/951169174688026625
WhatsAppのセキュリティ欠陥を説明する
この問題は、潜在的な攻撃者がこの WhatsApp のセキュリティ上の欠陥を悪用できる範囲によって発生します。メッセージをキャッシュし、一部を選択的に通過させることで、新規参入者について全員に警告しようとする管理者や他のメンバーからのメッセージをブロックすることができます。 WhatsApp サーバーが侵害されると、意図された受信者に関係なく、ハッカーがどのメッセージを誰に送信するかを決定できるようになります。
複数の管理者がいるグループでは、このプロセスは少し難しくなります。中間者は、自分たちがグループへの正当な参加者であるように見せるために、各管理者に異なるメッセージを送信し、別の管理者が招待したかのように見せかける必要があります。彼らをグループに加えます。同様に憂慮すべきことは、たとえ招かれざる客として発見された後でも、ハッカーはグループからの追放を阻止できるという主張である。
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
