Metaは、ユーザーのメタデータを露出させるWhatsAppの脆弱性への対処を開始し、特に攻撃者がデバイスのOSを「フィンガープリント」できてしまう欠陥を標的にしている。ただし、これらのシグネチャを完全に隠蔽することは継続的な課題だ。
脅威アクターが高度なスパイウェアをユーザーに送り込みたい場合、30億人のユーザーを抱えるWhatsAppを配信チャネルとして選ぶことがある。目的を達成するために、攻撃者はゼロデイ脆弱性を悪用し、被害者の操作を一切必要とせずにWhatsAppユーザーへ悪意あるペイロードを届けることができる。
これらのゼロデイはWhatsApp自体に影響する場合もあれば、他のアプリが依存するコンポーネントを介してスパイウェアを配信できるようにするサードパーティ製コンポーネントに影響する場合もある。2025年に明るみに出たParagonスパイウェア攻撃は、こうした欠陥の悪用を通じて数十人のユーザーを標的にした。
WhatsAppのゼロデイは希少で、攻撃者と防御側の双方にとって非常に価値が高い。フルチェーンのエクスプロイトには、双方から定期的に100万ドルが提示されている。
デバイスのフィンガープリンティング
しかし、攻撃者がWhatsAppのゼロデイを悪用して悪意あるペイロードを届ける前に、適切な種類のペイロードを送り込むため、標的ユーザーのOSを特定する必要がある。
これは攻撃の偵察段階で実現できる。研究者らは過去2年間にわたり、攻撃者が標的ユーザーの電話番号さえあれば、そのデバイスやOSに関する情報を収集できることを示してきた。このプロセスはユーザーの操作を必要とせず、被害者には情報が収集されたことを示す兆候が一切残らない。
研究者らは、攻撃者がユーザーの主要デバイス、リンクされた各デバイスのOS、デバイスの経過年数、そしてWhatsAppがモバイルアプリとして動作しているのか、デスクトップ端末上のWebブラウザ経由で動作しているのかを推測できることを実証した。これは、メッセージングアプリが割り当てる暗号鍵IDの値が予測可能であるために判定できる。
これらの調査を主導する人物の一人が、著名な研究者であり、暗号資産ウォレットZengoの共同創業者兼CTOであるTal Be’eryだ。
Be’eryらは調査結果をMetaに報告してきたが、最近までこのインターネット大手が何らかの対応を取ったようには見えなかった。
Be’eryはWhatsAppのデバイス・フィンガープリンティング用ツールを開発している。このツールは公開されていないが、最近この研究者は、Metaがデバイス・フィンガープリンティングを防ぐために、特にAndroid端末向けに鍵IDへランダム値を割り当てるなど、いくつかの措置を取り始めたことを確認した。
月曜日に公開されたブログ投稿で調査結果を説明したこの研究者は、デバイス・フィンガープリンティング手法が依然として機能することをSecurityWeekに実演してみせた。ただし、これをセキュリティおよびプライバシー上の問題として認識し、対処に向けた措置を講じたMetaを称賛した。
「攻撃者はOne-Time PK IDに基づいて、AndroidとiPhoneを高い確度で見分けられます」とBe’eryは説明した。「iPhoneはこのパラメータを低い値で初期化し、(数日ごとに)ゆっくり増加させるため、24ビットの潜在能力全体を使うAndroidのランダム値とは依然として非常に区別しやすいのです」
「ただし、これはWhatsAppがより完全な修正へ向けて踏み出した最初の一歩だと考えるのが妥当でしょう。もし実際にこれが計画で、すべてのOSとプラットフォームでこれらのフィールドがランダム化されるなら、このフィンガープリンティングによるプライバシー脆弱性は根絶されます」と彼は付け加えた。
Metaが正しい方向に進む措置を取ったと考える一方で、この研究者は展開が「サイレント」である点を批判し、WhatsAppユーザーが根底にある変更を把握できないままであると指摘した。また、Metaはこうした問題を報告する研究者とのコミュニケーションを改善し、CVE識別子を割り当て、バグバウンティを支払うべきだとも述べた。
WhatsAppの回答
WhatsApp はSecurityWeekに対し、人気メッセージングサービスを円滑に運用しつつ、さまざまな攻撃ベクトルからユーザーを保護することに引き続き注力していると述べた。
WhatsAppは、デバイス・フィンガープリンティングへの対策を含め、アプリケーションの堅牢化に向けた措置を講じてきたことを確認した。
ただし、OS推定に関していくつかの点を挙げ、なぜこれらの問題が通常は低い深刻度と見なされるのかを説明した:
- デバイス・フィンガープリンティングはWhatsAppに限らず、多くの技術やプラットフォームで実行できる。
- OS自体が、より良いユーザー体験のためにデバイス・フィンガープリンティングを容易にする場合がある(例えば、iMessageで番号を入力して、メッセージを送らずに相手がApple OSかAndroidかを確認できるなど)。
- デバイスOSの推定は、OSごとの動作の違いに起因しており、開発者はユーザー向けに性能を最適化するため、それぞれに合わせたアプリ版を構築する必要がある。
- OS推定がもたらす実用上のセキュリティ影響は限定的である。特定のOSを狙った悪意あるコードを攻撃者が届けられるようにするゼロデイがなければ、有用性はわずかにとどまる。
- サイバーセキュリティ業界では通常、OSフィンガープリンティング(能動的・受動的推定の双方)の深刻度は低いと評価され、こうした種類の問題がCVEの深刻度基準を満たすことはまれである。Be’eryが報告した問題はWhatsAppの基準を満たさなかった。
それでもWhatsAppは、Be’eryの報告が、無効なメッセージの取り扱いにおける別の、しかし類似した問題への対処に役立ったほか、この領域におけるバグバウンティのトリアージプロセス改善にもつながったとしている。この貢献に対し、研究者にはバグバウンティが支払われた。
Metaはこれまでに2,500万ドルを支払っており、その中には2025年の400万ドルも含まれる。
WhatsAppに関して具体的には、Metaは、WhatsAppのネットワークプロトコルに関する研究をより効果的にするWhatsApp Research Proxyツールなどを通じて、セキュリティ改善を進めているという。
スパイウェアとの戦いについては、Metaは複数の側面で行動を取っており、自社アプリを狙うオペレーションの妨害、業界の同業他社や研究者との知見共有(こうした活動の検知を支援するため)、ユーザーへの注意喚起、そしてスパイウェア製造者に対する訴訟提起などを行っている。
Metaは昨年、スパイウェア企業NSO Groupに対する訴訟で勝訴した。NSOはWhatsAppへのハッキングを停止し、数百万ドルの懲罰的損害賠償を支払うよう命じられたが、このスパイウェア製造者は控訴している。
