人気メッセージングアプリWhatsAppは最近、機密データの漏洩につながる可能性のある重大なセキュリティ脆弱性に直面しました。この脆弱性は同社によって修正されましたが、エンドツーエンドの暗号化でさえハッカーによって回避可能であることを示しています。

この脆弱性は、セキュリティ調査会社Check Point Research（CPR）によって発見されました。同社によると、この脆弱性を悪用するには「複雑な手順と膨大なユーザーインタラクション」が必要でした。正しく実行されれば、ハッカーはWhatsAppのメモリから機密情報を読み取ることができる可能性があります。

この脆弱性を利用するには、ハッカーは特定の悪意のある画像を含む添付ファイルを送信する必要がありました。この画像にフィルターを適用して攻撃者に送り返すと、メモリクラッシュが発生し、ユーザーのデータが漏洩しました。

この脆弱性はWhatsAppの画像フィルター機能に関連しており、ユーザーが悪意を持って細工された画像ファイルを含む添付ファイルを開き、フィルターを適用しようとした後、フィルターを適用した画像を攻撃者に送り返した際に発動しました。[…] CPRは調査研究中に、細工されたGIFファイルで様々なフィルターを切り替えると、実際にWhatsAppがクラッシュすることが判明しました。

幸いなことに、悪意のあるハッカーがこの脆弱性を利用してWhatsAppユーザーのデータを取得する時間はなかったようです。CPRは2020年11月10日にWhatsAppにこの脆弱性について報告し、このバグは今年初めに修正されました。WhatsAppアプリのバージョン2.21.1.13では、この脆弱性を回避するために、フィルターを使用して編集した画像の整合性をチェックする2つの方法が追加されました。

WhatsAppはその後、脆弱性を報告してくれたCPRに感謝の意を表し、アプリのエンドツーエンドの暗号化は依然として安全であり、セキュリティ調査会社はこのような脆弱性が悪意のある目的で利用されるのを防ぐ上で重要であると主張した。

こちらもご覧ください:

• WhatsAppはiMessageのようなリアクションを開発中、ZoomはiPad向けの新機能の詳細を発表
• WhatsApp for DesktopがmacOSユーザー向けにパブリックベータ版をリリース
• WhatsAppはマルチデバイスサポート2.0の開発を進めており、iPad版も登場する。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。