TokyoBlackHatNews

csoonline.com 4分で読了

「GhostPairing」攻撃でWhatsAppアカウントが標的に

アプリの正規のデバイス・ペアリング機能を悪用する新たな攻撃により、従業員のWhatsAppグループに侵入される可能性がある。

WhatsAppユーザーへの警告:サイバー犯罪者が、アプリのデバイス・ペアリング(リンク)手順を操作することで、ユーザーの会話にリアルタイムでアクセスできる驚くほど単純な方法を見つけた。

セキュリティ企業Gen Digital(Norton、Avast、Avira、AVGのオーナー)の研究者が「GhostPairing」と名付けたこの攻撃は、実行にパスワードやアカウント情報を必要とせず、最近チェコで検知された。

攻撃者がするべきことは、Facebookの写真を見られると装ったWhatsAppメッセージとして送られてくる悪意のあるリンクを、ユーザーにクリックさせるよう説得することだけだ。

最も一般的な攻撃の亜種では、これにより偽のページが表示され、携帯電話番号を入力して本人確認するよう求められる。この番号は攻撃者によってWhatsAppに転送され、アカウントに新しいデバイスを追加する「電話番号でデバイスをリンク」機能を開始するために使われる。

WhatsAppは8桁のペアリングコードを生成し、これが傍受されてユーザーに転送される。WhatsAppに新しいペアリングのプロンプトが表示されたユーザーは、このコードを入力してペアリングを確認する。残念ながら、これにより攻撃者のブラウザーセッションが「信頼できるデバイス」として追加されてしまう。

ユーザーが不審に思わない限り、そこで終わりだ。攻撃者はアカウント、メッセージ、メッセージ履歴への完全なアクセスを得るだけでなく、送受信されるメッセージをリアルタイムで閲覧できるようになる。

「デバイスがリンクされた後、攻撃者はそれ以上何かを悪用する必要はありません。自分のコンピューターでWhatsApp Webを接続する際にユーザーが持つのと同じ権限を持ちます」とGen Digitalの研究者は述べた。「すべてはWhatsAppが意図した機能セットの範囲内で起きています」

さらに悪いことに、攻撃者はユーザーになりすましてメッセージを送信し、被害者の連絡先やWhatsAppグループへキャンペーンを拡散することもできる。

E2EEの回避

GhostPairingは、WhatsAppの最大の魅力の一つを突く攻撃の例だ。登録して他のユーザーとつながり、アカウントに最大4台の追加デバイスを加えることが非常に便利であることは、WhatsAppがこれほど人気になった理由の一つでもある。参加に必要なのは電話番号だけで、覚えておくべきユーザー名やパスワードはない。

もう一つの魅力は、アプリがエンドツーエンド暗号化(E2EE)によるプライバシーを基盤としており、メッセージを保護するための秘密鍵がデバイス自体に保存される点だ。これにより、デバイスへの物理的アクセスがあるか、あるいはマルウェアで遠隔感染させない限り、プライベートメッセージを盗聴することは不可能なはずだ。

GhostPairingは、ソーシャルエンジニアリング攻撃がこれを回避できることを示している。興味深いことに、可能ではあるものの、QRコードでのペアリングをユーザーに求める場合、この攻撃は実用性が下がる。これは、ペアリング要求をQRコード経由に限定しているSignalのようなメッセージングアプリのユーザーにとって、ある程度の安心材料となる。

WhatsAppを防御する

ユーザーは、WhatsAppの設定 > リンク済みデバイスから、どのデバイスがペアリングされているかを確認できる。不正なデバイスのリンクはここに表示される。攻撃者はユーザーのWhatsAppアカウントにアクセスできても、デバイスのアクセス権を取り消すことはできず、これは主デバイスから開始する必要がある。もう一つの対策は、2段階のPIN認証を有効にすることだ。これでも攻撃者がメッセージにアクセスするのは防げないが、主メールアドレスを変更できなくなる。

企業にとっての脅威は、多くの従業員がWhatsAppを利用し、より大規模な従業員ディスカッショングループでもコミュニケーションしている点にある。リスクは、こうしたグループの多くが文書化されておらず、その結果セキュリティチームに見落とされることだ。

推奨されるのは、複数のグループが存在すると想定し、未知の番号からの不審なフィッシングやスパムを報告するようユーザーを教育することだ。メッセージは明確であるべきだ。WhatsAppのメッセージングはプライベートに見えるかもしれないが、アプリ自体には攻撃者が悪用できる隙がある。

GhostPairingは、大学研究者が、アプリの世界35億人のユーザーベースに登録された携帯電話番号を特定できてしまう重大なWhatsAppの欠陥を明らかにしてから、わずか数週間後に登場した。今年初めには、MetaがWindowsユーザーを標的に悪用され得るWhatsApp Desktopアプリの弱点を発見している。

そしてWhatsAppだけではない。研究者は最近、米国の上級政治家が使用するためにSignalの改変版を作成した企業に影響するハッキングも明らかにした。

翻訳元: https://www.csoonline.com/article/4108925/whatsapp-accounts-targeted-in-ghostpairing-attack.html

ソース: csoonline.com
#GhostPairing #WhatsApp #WhatsApp Web #アカウント乗っ取り #エンドツーエンド暗号化(E2EE) #サイバー攻撃 #ソーシャルエンジニアリング #デバイス連携 #フィッシング #企業セキュリティ

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く