チェック・ポイントは、WhatsAppとTelegramのウェブクライアントに脆弱性があることを明らかにし、疑わしいファイルをクリックしない理由を改めて提示した。この脆弱性を悪用すれば、攻撃者は、単に怪しい画像マクロと悪意のあるコードを使い、ユーザーがファイルを開くことを期待するだけで、ユーザーアカウントを乗っ取ることができる可能性がある。(全く知らない人から送られてきた話題の新しいミームをクリックせずにいられる人がいるだろうか?)両サービスは、チェック・ポイントの開示に対して既に反応を示している。
WhatsAppとTelegramはどちらも安全なコミュニケーションツールを謳っているため、これらの脆弱性は注目に値します。特にWhatsAppは、同名の人気アプリで使用されている定評のあるSignalプロトコルを利用したエンドツーエンド暗号化(E2EE)を採用していることで高く評価されています。しかし、CIAがスマートフォンをハッキングしてこれらの保護を回避していたことが明らかになったように、Check Pointのレポートは、攻撃者がいかにして個人データにアクセスできるかを示しています。
Check Pointの報告書は、WikiLeaksのCIA関連文書の暴露と同様に、暗号化通信を諦めてSMSでメッセージを送信すべきだという意味ではないことを指摘しておくことが重要です。これらのアプリは、誰かがあなたの通信を侵害することをはるかに困難にします。また、Check PointはWhatsAppとTelegramの両社が最新のウェブクライアントでこの問題を修正したと発表しているため、この問題もそれほど深刻なものではありません。
ここまで説明してきましたが、Check Point 社がレポートで脆弱性について述べている内容は次のとおりです。
この脆弱性を悪用する攻撃は、攻撃者が一見無害に見えるファイルを被害者に送信することから始まります。このファイルには悪意のあるコードが含まれています。このファイルは、ユーザーがファイルを開く可能性を高めるために、魅力的なコンテンツを含むように改変される可能性があります。ユーザーがファイルをクリックして開くと、攻撃者は悪意のあるファイルによってWhatsAppとTelegramのローカルストレージにアクセスでき、そこにユーザーデータが保存されています。これにより、攻撃者はユーザーのアカウントとアカウントデータへの完全なアクセスを取得できます。その後、攻撃者は悪意のあるファイルを被害者のすべての連絡先に送信し、WhatsAppとTelegramネットワークを介した潜在的に広範な攻撃への危険な扉を開きます。メッセージは事前に検証されることなく暗号化されるため、WhatsAppとTelegramはコンテンツを認識しず、悪意のあるコンテンツの送信を防ぐことができませんでした。
セキュリティ企業は、これらの問題を悪用すれば「攻撃者があらゆるブラウザ上のユーザーアカウントを完全に乗っ取り、被害者の個人およびグループの会話、写真、動画、その他の共有ファイル、連絡先リストなどにアクセスできるようになる」と述べた。WhatsAppではアカウントごとに1つのブラウザセッションに制限されているなど、いくつかの制限は適用されるが、巧妙な攻撃者はその障害を回避してユーザーアカウントへのアクセスを維持することも可能だった。
さらに厄介なのは、攻撃者があなたの連絡先に悪意のあるファイルを送信し、彼らのアカウントも乗っ取る可能性があるということです。こうした人々はおそらくさらに容易な標的となるでしょう。特に、攻撃者があなたのメッセージ履歴から得た情報を使って、メッセージが本当にあなたから送られたかのように見せかけることができれば、知人から送られてきた画像を開かせるのははるかに容易です。まさに知識こそが力なのです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
チェック・ポイントはWhatsAppとTelegramのユーザーに2つのアドバイスを提供した。
WhatsAppとTelegramにログインしているコンピューターを定期的に削除してください。これにより、アカウントをホストしているデバイスを制御し、不要なアクティビティをシャットダウンできます。不明なユーザーからの疑わしいファイルやリンクを開かないようにしてください。
とりあえず、両社が迅速に問題に対応してくれたのは朗報です。Check Pointは3月7日にこの問題を認識したと述べています。それから1週間が経ち、WhatsAppユーザーもTelegramユーザーもこれらの攻撃の影響を受けていないようです。これはかなり良い回復です。特にTelegramには他にもセキュリティ上の欠陥がありますが、暗号化された通信ツールをまだ諦める必要がないことを示しています。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
