世界

WhatsAppがさらに別のグループチャットセキュリティギャップを修正

Facebookが所有するWhatsAppの最も人気のある機能の1つは、グループメッセージングで、これによりアプリのエンドツーエンドの暗号化されたチャットを最大まで含むことができるソーシャルグループに参加者。しかし、最近のグループチャットセキュリティでのつまずき(ハッカーがアプリを完全にクラッシュさせる可能性があるバグを含む)は、WhatsAppがこれらの共有ハブを注意深く監視する必要があることを示しています。

8月にセキュリティ会社Check Pointによって公開され、9月にパッチが適用された特定の脆弱性により、ハッカーは特別に細工されたメッセージでグループチャットを混乱させることができました。感染したスレッドを開くたびにアプリが失敗するのを防ぐには、受信者はWhatsAppを完全にアンインストールし、再インストールして、侵害されたグループチャットをアカウントから削除する必要があります。 WhatsAppデータをバックアップしなかった被害者は、アンインストールプロセスですべてを失います。また、バックアップを使用した場合でも、クラッシュサイクルを停止するには再開せずに削除する必要があるため、影響を受けるチャットの内容を放棄します。

「人々はこれらのメッセージを受け取る可能性があり、アプリケーションはクラッシュし、何をすべきか理解できません。彼らはアプリをアンインストールして再インストールしてからグループを削除することを知りません」とOded Vanunu氏は言います、Check Pointの製品脆弱性調査責任者。 「私たちにとって、世界の主要な通信チャネルの1つであるアプリケーションを理解することは非常に重要です。悪いアクターがターゲットを攻撃するためにWhatsAppを使用していることはすでにわかっているため、これは普通のことではありません」

サービス拒否とデータ損失の可能性に加えて、バヌヌは、巧妙な攻撃者がバグを戦略的に悪用してWhatsAppをクラッシュさせ、SMSまたはメールフィッシングメッセージの送信を開始できることを指摘します彼らは、ターゲットのWhatsAppにアクセスできない可能性があることを知っています。 WhatsAppがなければ、ターゲットは他の通信プラットフォームにより集中することになります。また、フィッシング詐欺師は、WhatsAppから来たと主張するメッセージを作成したり、データを回復するためのステップを約束したりして、悪意のあるリンクをクリックするようにターゲットを誘導することができます。 WhatsAppによると、誰もが実際にバグを悪用した兆候は見られません。

グループメッセージングのエンドツーエンド暗号化を維持することは、セキュアなチャットプラットフォームにとって大きな課題です。チャットデータを復号化する必要があるエンドポイントが多くなり、アプリが追跡する参加者が増えるほど、バグが発生する可能性が高くなります。 WhatsAppにはグループチャットの欠陥があります。 WhatsAppグループメッセージのセキュリティとプライバシーに対する以前のチェックポイントresearchにより、グループメッセージのコンテンツを操作したり、古いメッセージを送信者のように見せたりするさまざまな方法が見つかりました別の参加者。 WhatsAppはこれらの問題の一部を修正しましたが、それらの一部はすべてのグループ通信に固有であると言っています。たとえば、全員に返信される電子メールスレッドのようなものです。 Check Pointによると、同社はiOSとAndroidのグループチャットクラッシュバグの修正について非常に迅速に対応していたという。

ソフトウェアエンジニアのEhren Kretは声明で述べた。 「最近、信頼できない関係者とのコミュニケーションを避けるために、不要なグループに人々が追加されるのを防ぐための新しいコントロールも追加しました。」同様のバグが発生したとしても、ハッカーはランダムユーザーをグループチャットに追加して攻撃を開始することはできなくなります。

FacebookはWhatsApp、Facebook Messenger、Instagramなどのプラットフォーム全体でチャットの統合を計画しているため、重要です。相互接続が非常に多いため、1つのアプリでのサービス拒否攻撃は、エコシステム全体に影響を及ぼす可能性があります。 WhatsAppはプラットフォーム上の誤情報の広がりに対処するためにスクランブルするため、グループは重要な戦場でもあります。セキュリティが厳しくなればなるほど、悪意のある攻撃のラウンチパッドとして利用できるグループは少なくなります。


もっと素晴らしいWIREDストーリー

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Close