チャットアプリWhatsAppに電話一本でスマホを乗っ取れる脆弱性が発見される、スパイウェアがインストールされた実例も

by haberlernet NET

Facebookは同社のチャットアプリ「WhatsApp」にスマートフォンの遠隔操作が可能になる脆弱性が見つかったと発表しました。既にiOSやAndroid向けに配信されている最新版の「WhatsApp」では脆弱性が修正されているとのことですが、この脆弱性が最初に発見された2019年5月上旬からおよそ半月にわたり、「WhatsApp」を利用している全世界の15億人分のスマートフォンが危険にさらされていたことになります。

Facebook CVE-2019-3568
https://www.facebook.com/security/advisories/cve-2019-3568

WhatsApp voice calls used to inject Israeli spyware on phones | Financial Times
https://www.ft.com/content/4da1117e-756c-11e9-be7d-6d846537acab

How Hackers Broke WhatsApp With Just a Phone Call | WIRED
https://www.wired.com/story/whatsapp-hack-phone-call-voip-buffer-overflow/

Facebookの発表によると、今回発見された不具合はWhatsAppが通話に使用している音声通信プロトコルであるVoIPの脆弱性を突いたもの。Android版で「2.19.134」より前、iOS版で「2.19.51」より前のバージョンのWhatsAppにはこの脆弱性が含まれているとのことで、Facebookはアプリのユーザーに対して速やかにアップデートを実施するように呼びかけています。

by Microsiervos

今回発見されたVoIPの不具合は、バッファオーバーフローと呼ばれる非常にありふれた不具合で、ハッカーはこれを悪用した攻撃によりスマートフォンのシステムをクラッシュさせたり、リモートアクセスで任意のコードを実行させたりすることができるというもの。最初にこの問題を報じた「Financial Times」によると、攻撃は対象となるスマートフォンに電話をかけるだけで実行可能で、実際にメキシコでジャーナリスト殺害に利用された「Pegasus」というスパイウェアが、イギリスの弁護士が持つ携帯端末にインストールされようとしていたとの報告もあるとのことでした。

by master1305

この攻撃は標的が電話に反応しなくても有効で、着信履歴も抹消することが可能なため、攻撃の対象者がそのことに気づくことはほぼ不可能だといわれています。もっとも、アメリカのニュースメディア「WIRED」のライターであるリリー・ヘイ・ニューマン氏によると、今回見つかった不具合による攻撃の対象は世界的に活動している政治活動家などに集中しており、大半のWhatsApp利用者には危険が及ぶことはなかったとのことです。

その一方で、ドイツの通信事業者CryptoPhoneのCEO・Bjoern Rupp氏はWhatsAppについて、「セキュリティを念頭に設計されたアプリではありません」と断言。同じくドイツのセキュリティ企業Security Research Labsの主任研究者カーステン・ノール氏も、「WhatsAppは接続プロトコルが特に複雑で、エラーや不具合の余地は大いに残っています」と語っており、同様の危険性は依然として残されているとの見方を示しています。