WhatsApp は 2 年弱にわたって完全暗号化に依存してきました。 Wired の報道によると、ドイツのセキュリティ研究者らは、2016 年 4 月にすべてのユーザーに導入されたメッセージング サービスのエンドツーエンド暗号化がグループ チャットで回避できることを発見しました。水曜日にチューリヒで開催されたReal World Cryptoカンファレンスで、ボーフムのルール大学の暗号学者らが、WhatsAppやその他のサービスのグループチャットの暗号化の欠陥を指摘した論文( PDF )を発表した。
メリットのない暗号化
WhatsAppサーバーを制御できると仮定すると、グループ通信へのアクセスを制御する管理者の許可なしに、参加者がWhatsAppのグループチャットに追加される可能性があると調査は述べている。 Wired 調査の共著者である Paul Rösler 氏は、チャットの権限のない参加者がメッセージを受信して読むことができたとしても、暗号化の価値はそれほど高くないと述べたと伝えられています。これによりグループの機密性が破られました。
当局がサーバーにアクセスすると盗聴が可能になる可能性がある
企業サーバーにアクセスする必要があるため、スパイ行為の範囲は大幅に制限されています。ただし、当局が WhatsApp 経由でサーバーにアクセスすると、機密の会話が盗聴される可能性があります。エンドツーエンド暗号化の前提は、侵害されたサーバーを経由してもメッセージの内容にアクセスできないことである、と論文は続けています。暗号化されたメッセージには、グループの承認されたメンバーのみがアクセスできるようにする必要があります。
システムがサーバーへの信頼を必要とする場合、複雑なエンドツーエンドの暗号化をスキップできると、暗号学者のマシュー・グリーン氏は Wired に語った。 「これは言い訳の余地のないミスだ。
システムのバグがWhatsAppのハッキングに役立つ
ドイツの研究者らは攻撃手法において、WhatsApp システムの単純なバグを利用しました。グループ チャットでは、管理者のみが新しいメンバーを招待できます。 WhatsApp サーバーによってバイパスできない認証メカニズムはありません。グループ チャットのメンバーには、新しい追加について通知されます。ただし、これらのメッセージは、さまざまなトリックを使用して遅延させることができます。したがって、サーバー経由で追加されたメンバーは、少なくともしばらくは通信を聞くことができます。
———————-
WhatsApp のセキュリティの詳細:
- だからこそWhatsAppの使用をやめるべきです
- WhatsApp はどのくらい安全ですか?明らかにします
- WhatsApp – プライバシー設定は十分に安全ではありません
———————-
WhatsAppは確認したが、危険性はないと考えている
WhatsAppは研究者の調査結果をWiredに認めたが、気付かれずにグループチャットに新しいメンバーを追加することは不可能だと指摘した。 「非表示ユーザー」としてグループ チャットに参加することはできません。セキュリティ研究者のグリーン氏はWiredに対し、これを受け入れていない。それは銀行のドアを全開にし、どうせ監視カメラがあるから誰も強盗はしないと思い込むようなものだと専門家はワイアードに「それは愚かだ」と語った。
研究者らは論文の中で、SignalとThreemaからのメッセンジャーのグループチャットの暗号化に軽微なエラーも発見した。ただし、これらは比較的無害です。