テレグラムの創設者パベル・ドゥロフは公開でWhatsAppを批判し、「デフォルトエンドツーエンド暗号化」という主張を大規模なコンシューマー詐欺として非難した。
彼は、メッセージは転送中に暗号化される可能性があるが、デフォルトのバックアップ設定はユーザー会話の大多数を完全に無防備のままにしていると主張している。
ソーシャルメディアプラットフォームXでの最近の声明で、ドゥロフは人気のあるメッセージングアプリケーションがユーザーデータバックアップをどのように処理するかにおける重大な脆弱性を強調した。
この非難は、データプライバシー、ユーザビリティ、および安全なメッセージング標準に関する継続的な議論を再び燃え上がらせている。
この論争はまた、暗号化された転送と安全なデータ保存の間の、しばしば誤解されている違いに光を当てている。
クラウドバックアップの脆弱性
ドゥロフは、プライベートWhatsAppメッセージの約95%が最終的にAppleとGoogleのサーバーに平文として保存されることを指摘した。
これはアプリケーションがデフォルトでチャット履歴をiCloudまたはGoogle Driveに自動的にバックアップするために発生する。
WhatsAppは2021年にオプションのエンドツーエンド暗号化バックアップ機能を導入したが、ドゥロフは実際にそれを有効にしたり、これらのアーカイブ用に強力なパスワードを設定する時間をかけるユーザーがほとんどいないことを指摘した。
デフォルト設定は暗号化されていないクラウドストレージに依存しているため、サードパーティのサーバーが侵害されたり法的に召喚された場合、初期のエンドツーエンド暗号化は実質的に無意味になる。
サイバー犯罪者は標準バックアップが機密情報を抽出するための金鉱であることを知って、これらのクラウドアカウントを頻繁に標的にしている。
ドゥロフは10年以上にわたってTelegramがユーザーメッセージコンテンツを開示したことがないと述べることで自分のプラットフォームを擁護したが、セキュリティ専門家はすぐに彼の声明における皮肉に気づいた。
JP Aussonのような暗号化研究者は、Telegramの独自の基盤となるアーキテクチャのため、ドゥロフの批判を不誠実と呼んでいる。
WhatsAppとは異なり、Telegramは標準チャットのデフォルトエンドツーエンド暗号化を提供せず、代わりに基本的なクライアント・サーバー暗号化に依存している。
これは標準メッセージがTelegramの独自インフラストラクチャに平文として実質的に保存され、会社にほとんどの会話の復号化キーへのアクセス権を与えることを意味している。
したがって、サイバーセキュリティ専門家は、優れたデフォルトプライバシーと厳密に安全なローカルストレージ機能のためにSignalのような代替アプリケーションを推奨し続けている。
この公開交換は、最大プライバシーと日常的なアプリケーションユーザビリティの間の絶え間ないトレードオフに注意を向けている。シームレスなマルチデバイス同期のような機能は一元化されたデータストレージを必要とし、これは必然的に新しいセキュリティ脆弱性を導入する。
メッセージングプライバシーに関する議論が激化する中、市場は新しい競合他社の参入に備えている。
ソーシャルメディアコメンテーターのマリオ・ナウファルによると、XChatという新しい安全なメッセージングアプリケーションが4月17日にiOSで起動予定である。
このアップカミングプラットフォームは、ユーザー電話番号を必要とせず、エンドツーエンド暗号化、自動削除メッセージ、およびスクリーンショットブロッキングを約束すると報告されており、現在のテック大手に不満を持つユーザーを引き付けることを目的としている。
翻訳元: https://gbhackers.com/whatsapps-end-to-end-encryption-consumer-fraud/
