Telegramの創設者パベル・ドゥーロフは、WhatsAppがセキュリティ保証について利用者を誤解させていると非難することで、セキュアメッセージング業界で新たな議論を巻き起こしました。
ドゥーロフによると、WhatsAppは転送中のメッセージを暗号化していますが、デフォルト設定では大部分のユーザーデータが不要なリスクにさらされています。
このアプリケーションは、定期的にチャット履歴をApple iCloudまたはGoogle Driveに保存しており、どちらもメッセージのコピーを暗号化されていない、または不十分に保護された形式で保持しています。
ドゥーロフは、WhatsAppメッセージの約95%が最終的にはサードパーティサーバー上のプレーンテキストとなり、侵害、法的アクセス要求、またはインサイダーの悪用に対して脆弱になると主張しました。
WhatsAppは2021年にオプションの「エンドツーエンド暗号化バックアップ」機能を導入しました。しかし、ほとんどのユーザーがこれを有効にしたり、強いパスワードを設定したりしていません。
この機能がデフォルトで有効ではないため、数百万のユーザーが暗号化されていないクラウドバックアップに依存し続けています。
実際には、フィッシング、認証情報の詰め込み、またはクラウドの設定ミスを通じてiCloudまたはGoogle Driveアカウントにアクセスできる人は誰でも、完全なチャット履歴を抽出できるということです。
サイバー犯罪者はこれらのバックアップパスをよく知っており、機密データ抽出のためにそのようなクラウドリポジトリをますます標的にしています。
ドゥーロフが指摘したように、これはエンドツーエンド暗号化の中核的な目的を損なうもので、サービスプロバイダーを含むサードパーティがメッセージの内容を読むことを防ぐはずのものです。
ドゥーロフは、彼のプラットフォームが10年の長い歴史の中で、ユーザーメッセージの内容を決して開示したことがないと述べることで、Telegramの記録を擁護しました。
それでも、JP Aumaissonを含む複数の暗号化専門家は、彼の批判を「恣意的である」と呼びました。WhatsAppとは異なり、Telegramは標準チャットのデフォルトでエンドツーエンド暗号化を使用していません。
代わりに、復号化キーをTelegramのインフラストラクチャにアクセス可能な状態にするクライアント・サーバー暗号化モデルを採用しています。Telegramの「シークレットチャット」機能だけが真のエンドツーエンド保護を提供しています。
これは、デフォルトのプライバシーの観点では、どちらのアプリも暗号化セキュリティの最高基準を達成していないことを意味しています。
Signalのようなプライバシー第一の選択肢は、集中ストレージやオプションのセキュリティ構成に依存せずにエンドツーエンド暗号化を実装するために、引き続き最高の評価を受けています。
より広い議論は、強力な暗号化と製品の使いやすさの間の緊張を強調しています。
シームレスなマルチデバイス同期などの機能は、ある程度のクラウドベースのデータ共有を必要とし、これは必然的に新しい攻撃表面をもたらします。
セキュリティの専門家は、ユーザーにアプリの設定を慎重に確認し、可能な限り自動クラウドバックアップを無効にするよう促しています。
主流メッセージングアプリへの幻滅が広がる中、新しい競争相手がアリーナに参入する準備をしています。
テック評論家のマリオ・ナウファルは、新しい暗号化メッセージングプラットフォームであるXChatが4月17日にiOSで起動すると報じました。
XChatは、電話番号を必要とせずに、真のエンドツーエンド暗号化、自動メッセージ自己破壊、スクリーンショットブロッキングを約束しています。
ドゥーロフの声明がデジタルプライバシーに関する議論を再燃させている中で、業界の焦点は再び透明性と、暗号化が単に宣伝されるだけでなく実際に設計によって強制されるデフォルト・セキュアメッセージング標準へとシフトしています。