Metaの子会社であるWhatsAppは、長年にわたり高度なサイバー侵入の主要な経路として機能してきました。月間アクティブユーザー数が30億人を超えるこのプラットフォームは、有害なソフトウェアを拡散するうえで極めて収益性の高い土壌を提供しています。エンドツーエンド暗号化は通信の神聖性を厳格に守る一方で、同サービスの「マルチデバイス」アーキテクチャの複雑さが、ここ数年にわたり受信者のハードウェアに関する技術的メタデータの流出を可能にしてきました。この情報は、攻撃前の偵察の要として十分に粒度の細かいものでした。
あらゆる強力なサイバー攻撃は、綿密な情報収集を前提としています。特定のエクスプロイトを投入する前に、攻撃者は標的ハードウェアの種類を把握しなければなりません。Android向けの脆弱性をiPhoneに送っても無駄なだけでなく危険です。こうした見落としは被害者に気付かれるリスクを高め、作戦全体を危うくします。国家支援やプロの脅威アクターにとって、この種の失策は、コストの高いゼロデイ/ゼロクリック・エクスプロイトの喪失から、より広範なC2(コマンド&コントロール)基盤の露見に至るまで、深刻な結果を招きます。
WhatsAppのデータ漏えいに関連する脆弱性は、早くも2024年の時点で徹底的に詳細が記録されていました。研究者らは、このメッセージングサービスが意図せずアカウント設定、具体的にはリンクされたデバイスの数と種類を露呈していることを示しました。この漏えいの起点は、マルチデバイス機能の暗号実装にあります。各セカンダリデバイスは送信者と個別の暗号セッションを確立し、インスタンスごとに固有の鍵を使用します。その結果、これらの接続デバイスは第三者の観測者にも識別可能となり、ユーザーのデジタル・エコシステムを精密にマッピングできてしまいます。
その後の調査で、これらの個別セッションが外科手術のような精密な標的化に悪用でき、攻撃者がアカウント内の特定デバイスを切り分けて侵害対象にできることが明らかになりました。2025年までに研究者はこの手法をさらに進め、暗号鍵内の特定パラメータがプラットフォームのフィンガープリンティング、すなわち標的がAndroidかiOSかを識別する能力を可能にすることを示しました。
この流出メカニズムは、日常的なサービス手順に結び付いていました。安全なセッションを確立するため、送信者はWhatsAppのサーバーに暗号素材を要求し、それは受信者の各デバイスによって生成されます。この段階でプラットフォーム間のアーキテクチャ差が顕在化しました。特定の鍵識別子が異なる方法で生成されていたため、ユーザーの操作を一切必要とせず、検知可能な通知も発生させずに、AndroidとiOSを区別できてしまったのです。
この研究の著者らは、2025年の学術研究に支えられつつ、独自の内部ツールでこれらの結果を確認しました。このツールを用いて、彼らはAndroid版WhatsAppのロジックに最近変更があったことを観測しました。具体的には、以前はゼロからゆっくり増加していたSigned PK IDパラメータが、現在は確率的に生成されるようになっています。
この変更は前進と見なされており、特にMetaが以前これを修正可能なプライバシー問題として分類することを渋っていたことを踏まえると評価できます。しかし、脆弱性は依然として残っています。別のパラメータ、One-Time PK IDによって、AndroidとiPhoneを区別することが可能です。iOSではこの値は低い閾値から始まり数日かけて段階的に増加するのに対し、Androidでは24ビット範囲全体にわたるランダム値が用いられます。研究者たちはすでに、これらの変化に対応してフィンガープリンティング能力を維持できるよう、ツールを再調整しています。
修正プロセスの秘密主義的な性質は、大きな批判を招いています。研究者らは、WhatsAppがこれらの変更を公表せずに実装し、当初の告発者と連携せず、バグバウンティの支払いを避け、CVE識別子の付与も拒んだと主張しています。この透明性の欠如は繰り返されるパターンだと見られており、Metaは名目上の報奨で問題を認めつつ、欠陥の深刻度を過小評価することで正式なCVE分類を回避している、という指摘です。
セキュリティアナリストは、このアプローチは根本的に誤っていると論じています。CVEは失敗の烙印ではなく、プライバシーとセキュリティに関する事項を記録し議論するための重要な手段として捉えるべきだというのです。リスクの差異は、正式な識別がまったく存在しないことではなく、CVSSスコアによって反映されるべきです。
最終的に、WhatsAppは秘密裏の偵察に利用可能なメタデータの量を減らし始めたものの、その実装方法は消極的で不透明な移行を示唆しています。この一件は、サイバーセキュリティにおける重要な真実を浮き彫りにします。強固な暗号化の枠組みの中にあっても、実装の細部とメタデータは、高度な攻撃の準備段階において依然として決定的な脆弱性となり得るのです。
翻訳元: https://meterpreter.org/the-metadata-trap-how-whatsapp-silently-reveals-your-phone-type-to-hackers/
