メモ

チャットの中身をのぞかれるWhatsAppの脆弱性はアップデートによっても解決していないことが判明

By R Sameer

Facebookが160億ドル(約1兆6400億円)という巨額の資金を投じて買収したチャットアプリ「WhatsApp」ですが、かねてからAndroidスマートフォンユーザーのチャットを第三者がのぞき見できるという脆弱性が指摘されていました。最新のアップデートによって、この危険性への対応がされたかに思えましたが、他の方法で簡単にこの対策を回避できることが判明しました。

Steal WhatsApp database (PoC) | Bas Bosschert
http://bas.bosschert.nl/steal-whatsapp-database/

WhatsApp 2.11.186 Update Offers New Privacy Settings, 'Pay For A Friend,' And More
http://www.androidpolice.com/2014/03/10/whatsapp-2-11-186-update-offers-new-privacy-settings-pay-for-a-friend-and-more/

AndroidスマートフォンでWhatsAppを使う場合、チャットの内容をSDカードに保存できるところ、ユーザーがスマートフォンで使用する「SDカードへのアクセス権限を持つアプリ」であれば、WhatsAppのチャットデータベースへアクセスが可能でした。このため、WhatsAppは先日リリースした最新バージョン2.11.186で、データベースを暗号化することでこの脆弱性に対応しました。


しかし、セキュリティコンサルタントのバス・ボシュチャート氏は、自身のブログで、今回のWhatsAppのアップデートによってもいまだにセキュリティホールが埋められていないことを明らかにしています。WhatsAppはデータベースを暗号化しましたが、ボシュチャート氏によると、チャットデータのスマートフォンへのバックアップを合理化するために用いられるXtractというオープンソースツールによって簡単に解読できてしまうとのこと。ボシュチャート氏はブログ内で解読スクリプトを例示して簡単に解読できたことを報告しています。


この脆弱性は、多くのAndroidアプリがSDカードやネットワークへの極めて広いアクセス権限を要求していることが最も根本的な問題であり、WhatsAppだけの問題とは言えません。例えば、iOSアプリでは、データへのアクセス権はアプリ内のデータにのみ認められており、他のアプリのデータへアクセスできません。このため、iOSアプリ版のWhatsAppでは同様の脆弱性は見つかっていませんでした。しかし、iPhone/iPadユーザーが安心できるかというとそうではなく、チャット相手がAndroidスマートフォンユーザーであればチャット内容をのぞき見される危険があるのは同じと言え、指摘されているAndroid版アプリの脆弱性は、iPhone/iPadユーザーにとっても対岸の火事ではなさそうです。

・関連記事
Android端末の99%が影響を受ける「マスターキー」脆弱性を悪用した実例が登場 - GIGAZINE

「Galaxyシリーズ」にデータの閲覧・削除が可能なバックドアが発見される - GIGAZINE

サムスンGalaxy S4のセキュリティにデータ通信記録を許可するなどの脆弱性が指摘される - GIGAZINE

無料チャットアプリ「WhatsApp」をFacebookが1兆6400億円で買収 - GIGAZINE

10代のFacebook離れが加速しメッセンジャーアプリにユーザーが流出 - GIGAZINE

iPhoneやiPadでどこをタッチしたか・どのボタンを押したかを記録・監視できる脆弱性が判明、悪用したアプリを作成できることも実証済み - GIGAZINE

LINEのメッセージを既読にせず読めるようになる無料アプリ「ちらみ」 - GIGAZINE

in モバイル,   ソフトウェア,   ネットサービス,   メモ, Posted by logv_to