チャットの中身をのぞかれるWhatsAppの脆弱性はアップデートによっても解決していないことが判明

By R Sameer

Facebookが160億ドル(約1兆6400億円)という巨額の資金を投じて買収したチャットアプリ「WhatsApp」ですが、かねてからAndroidスマートフォンユーザーのチャットを第三者がのぞき見できるという脆弱性が指摘されていました。最新のアップデートによって、この危険性への対応がされたかに思えましたが、他の方法で簡単にこの対策を回避できることが判明しました。

Steal WhatsApp database (PoC) | Bas Bosschert
http://bas.bosschert.nl/steal-whatsapp-database/

WhatsApp 2.11.186 Update Offers New Privacy Settings, 'Pay For A Friend,' And More
http://www.androidpolice.com/2014/03/10/whatsapp-2-11-186-update-offers-new-privacy-settings-pay-for-a-friend-and-more/

AndroidスマートフォンでWhatsAppを使う場合、チャットの内容をSDカードに保存できるところ、ユーザーがスマートフォンで使用する「SDカードへのアクセス権限を持つアプリ」であれば、WhatsAppのチャットデータベースへアクセスが可能でした。このため、WhatsAppは先日リリースした最新バージョン2.11.186で、データベースを暗号化することでこの脆弱性に対応しました。

しかし、セキュリティコンサルタントのバス・ボシュチャート氏は、自身のブログで、今回のWhatsAppのアップデートによってもいまだにセキュリティホールが埋められていないことを明らかにしています。WhatsAppはデータベースを暗号化しましたが、ボシュチャート氏によると、チャットデータのスマートフォンへのバックアップを合理化するために用いられるXtractというオープンソースツールによって簡単に解読できてしまうとのこと。ボシュチャート氏はブログ内で解読スクリプトを例示して簡単に解読できたことを報告しています。

この脆弱性は、多くのAndroidアプリがSDカードやネットワークへの極めて広いアクセス権限を要求していることが最も根本的な問題であり、WhatsAppだけの問題とは言えません。例えば、iOSアプリでは、データへのアクセス権はアプリ内のデータにのみ認められており、他のアプリのデータへアクセスできません。このため、iOSアプリ版のWhatsAppでは同様の脆弱性は見つかっていませんでした。しかし、iPhone/iPadユーザーが安心できるかというとそうではなく、チャット相手がAndroidスマートフォンユーザーであればチャット内容をのぞき見される危険があるのは同じと言え、指摘されているAndroid版アプリの脆弱性は、iPhone/iPadユーザーにとっても対岸の火事ではなさそうです。