MetaのWhatsAppは、ユーザーのオペレーティングシステム情報を潜在的な攻撃者に露出させる重大なデバイス・フィンガープリンティング脆弱性に対する修正を、ひそかに実装し始めています。
このプライバシー上の欠陥は月間アクティブユーザー30億人超に影響し、脅威アクターが高度なマルウェア・キャンペーンを開始する前に、標的を絞った偵察を行える可能性があります。
セキュリティ研究者は、WhatsAppのエンドツーエンド暗号化(E2EE)のマルチデバイス・プロトコルが意図せずデバイスのメタデータを漏えいしていることを発見しました。
このアーキテクチャでは、受信側の各デバイスが別々の鍵を持つ独立した暗号化セッションを維持するため、各デバイスが識別可能になります。
攻撃ベクトルとしてWhatsAppを悪用する攻撃者は、ユーザーの操作なしにWhatsAppサーバーへ暗号化素材を問い合わせ、デバイス固有の情報を抽出できます。この偵察能力は世界中のユーザーに重大なリスクをもたらします。
最近の研究では、鍵ID生成における実装差により、攻撃者が被害者の正確なオペレーティングシステムをフィンガープリントし、Android端末とiPhone端末を区別できることが示されました。
この識別能力は、プラットフォーム固有のゼロデイ攻撃を展開する高度持続的脅威(APT)アクターにとって極めて重要です。
iPhoneにAndroid向けエクスプロイトを送っても失敗するだけでなく、被害者に警戒され、数百万ドル規模の高度な攻撃インフラが露見する可能性もあります。
脅威アクターにとって、攻撃開始前にデバイスを正確に特定することは、オペレーション上のセキュリティに不可欠です。
独自の調査ツールを用いて、セキュリティアナリストはAndroidのSigned PK ID生成ロジックの変更を検出しました。
従来のようにゼロから開始して月ごとに増分するのではなく、現在は毎月ランダムな値を生成するようになり、デバイス識別が困難になっています。
しかし、One-Time PK IDパラメータは依然として脆弱です。iPhoneの初期化値は、Androidのランダム化された24ビット範囲とは依然として大きく異なり、高精度なデバイス判別が継続して可能です。
この部分的な是正は前進ではあるものの、防御には重大な穴が残っています。
WhatsAppは、元の脆弱性報告者に通知することも、Common Vulnerabilities and Exposures(CVE)識別子を割り当てることもなく、この修正を実装しました。
関連するある事例では、WhatsAppはバグバウンティを支払ったものの、深刻度の閾値が不十分であるとしてCVEの割り当てを拒否しました。
セキュリティ専門家は、CVEの文書化は単なる烙印付けではなく、セキュリティコミュニティにとって不可欠なコミュニケーション基盤であり、深刻度はCVSSスコアリングに適切に反映されるべきだと主張しています。
全プラットフォームでの完全なランダム化と、セキュリティ研究コミュニティとの協力強化により、標的型監視やマルウェア・キャンペーンからWhatsAppの巨大な世界的ユーザーベースをよりよく保護できるでしょう。
透明性のある脆弱性開示の実践は、エコシステム全体のセキュリティを強化し、プライバシー保護に対するユーザーの信頼を築きます。
Metaは、セキュリティ透明性へのコミットメントを示すため、正式なCVE割り当てと研究者への通知と併せて、包括的な修正を優先すべきです。
翻訳元: https://cyberpress.org/whatsapp-vulnerabilities/