WhatsAppが攻撃者にユーザーメタデータを漏らす

出典：Alamy Stock Photo via stLegat

タル・ベエリーは、私が彼に電話をかけた前の夜、私がオンラインだったことを知っていました。彼は私がどんなデバイスを使っているか知っていました。私はこの情報を彼と共有していません。彼が持っていたのは私の電話番号だけです。

私は、彼が私に関するその情報を学んでいることを知る方法がありませんでした。Zengoの共同創業者兼最高技術責任者（CTO）であるベエリーは、eToro による7000万ドルの買収が当社の通話中に発表されました。WhatsApp にプラグインする自作プログラムを使用して、私のオンライン習慣（私の許可で）を静かに調査し、それが漏らす薄いメタデータの層を悪用しました。Black Hat Asia 2026 でのプレゼンテーションでは、誰もが同じ技を実行できることを示しており、それが高度な国家主体の高度な永続的脅威（APT）であろうと、低レベルの詐欺師であろうと構いません。高度なゼロデイを必要としません。WhatsApp 自身の設計上の選択肢を活用するだけです。

Dark Reading はこのストーリーを報告する過程で WhatsApp に連絡しました。同社は公式声明を出しませんでしたが、ベエリーの調査結果の詳細を確認し、WhatsApp が彼の研究の重要と見なしている領域に対処するために取り組んできた軽減策に言及しました。

サイレント Ping

2024年に、オーストリアの研究者は、WhatsApp ユーザーが受信者にアプリケーション層メッセージを送信できる方法について、実際には被害者のデバイスに表示されない一連の方法を説明しました。WhatsApp Web プロトコルにプラグインされたカスタム プログラムがあれば、例えば、存在しないメッセージに反応を送信できます。受信者のアプリでは何も起こりませんが、送信者は、返信の配信レシートを受け取るまでの時間に基づいて、アクティブでオンラインであるかどうかを推測することができます。

おそらく、攻撃者がそのようなプログラムを使用して、受信者のデバイスを常に静かに ping し続ければ、被害者がオンラインのときの被害者のオンライン習慣（睡眠またはスケジュール、正しい種類のフィッシング メッセージを受け取るための準備ができている時間など）の図を描くことができます。または、受信者のバッテリーを理由を知らずに徐々に消耗させるリソース枯渇攻撃を実行できます。

被害者が使用しているデバイスの種類を見つけるのは、WhatsApp の主力セキュリティ機能の特殊性のおかげでさらに簡単です。アプリはすべてのチャットにエンドツーエンド暗号化を提供し、WhatsApp 自体さえあなたのテキストを調べることができない程度までです。これを実現するために、自分の WhatsApp アカウントに登録されている各デバイスは独自の「フィンガープリント」を持っています。基盤となるオペレーティング システム（OS）によって異なる秘密鍵マテリアルと ID です。送信者が受信者との新しいチャットをトリガーすると、舞台裏で、その受信者が WhatsApp に登録した デバイスの鍵マテリアルと ID を受け取ります。つまり、単に被害者を連絡先リストに追加することで（被害者に警告しないアクション）、攻撃者は、被害者が WhatsApp を使用しているデバイスの種類を学ぶことができます。

「エンドツーエンド暗号化では、誰かが WhatsApp のサーバーを攻撃しても、あなたのデータを読むことはできませんし、WhatsApp 自体もあなたのデータを読むことはできません。しかし、このコインの裏側は、WhatsApp もあなたを保護することができないということです」とベエリーは説明しています。

デバイス情報は興味深いとは聞こえないかもしれませんし、WhatsApp はメッセージング システムの中で唯一それを漏らすわけではありません。実際、Apple の iMessage は、有名な青と緑のテキストバブルを介してはるかに目立つように行います。このテーマに関するベエリーのセキュリティ レポートは、CVE を生成する WhatsApp のしきい値を満たしていませんでしたが、研究者はデバイスフィンガープリントが悪意のある者にとって有用であると主張しています。

スペクトラムの良性の端では、企業はそのような情報を使用して監視価格を実行できます。「あなたは潜在的な顧客であり、あなたに何を提案すべき価格を知る必要があります。ですから、私は手掛かりを持っています。おそらく、あなたは iPhone ユーザーであり、iPad も持っており、より安い Android ベースのデバイスではないため、より多く支払う意思があります。」

スパイウェアの薄暗い世界では、強力な脅威行為者は特定のオペレーティング システムに対する攻撃を超調整する必要があります。この知識で武装した国家は、特定の対象者のデバイスに合わせた目的ツールを購入および展開できます。私に対する彼の実験では、ベエリーはさらに一歩進みました。彼は私のデスクトップにメッセージを送信しました。このメッセージは、WhatsApp がインストールされている他のデバイスに到達することはありませんでした。「適切に実装されたクライアントは、それを 3 つのデバイス すべてに送信したでしょう。しかし、不正なクライアントがあれば、Web エクスプロイトがあれば、そのデバイスだけに送信できます」と彼は説明しています。

WhatsApp の核心的な問題

認識されていない番号が単に「Hi」と言って、詳細を述べずに WhatsApp メッセージを送信したり、暗号通貨に関する巨大なグループ チャットに追加したりしたことがあれば、Meta のチャット アプリでは、あなたと世界の悪い側面の間に何もないことがわかります。

任意の WhatsApp ユーザーは、送信者が正しい電話番号（またはそれを推測）を知っている限り、他の 35 億人のユーザーのいずれかにメッセージを送信できます。「製品の観点からすると、もちろんそれは多くの意味があります」とベエリーは認めています。「最初は、小さな会社の時点で、ネットワーク効果を構築する前に、摩擦を望まないでください。人々が互いに話しかけることができます。」

他のソーシャル アプリと比較しても、それは非常に寛容です。「LinkedIn やFacebookなどのソーシャル ネットワークでは、連絡先リスト内の人からのみメッセージを受け取ることができます。そして、接続をリクエストするための最小限のインターフェースのような方法があります。これは、あらゆる種類の奇妙なデータを含めることはできません。だからそれははるかに限定的であり、これははるかに小さい攻撃面を生み出します」とベエリーは説明しています。

WhatsApp の誰が誰に連絡するかについてのオープン ポリシーは、ベエリーがこのレポーターのオンライン習慣を追跡し、豚肉屋があなたの両親にアクセスしやすくでき、政府が0クリック スパイウェアで反体制派やジャーナリストを攻撃できることを可能にしています。後者の場合、標的であることを知っているターゲットは、WhatsApp の新しい「厳密アカウント設定」機能を有効にすることができますが、ユーザー エクスペリエンスにはある程度のコストがかかります。

WhatsApp を修正する必要があるのか？

これまでのところ、Meta はアプリケーション ロジックのそのような基本的な機能を変更することに関心がなく、ベエリーが示唆する理由によるものです。代わりに、「未知の発信者をサイレント」、レート制限、およびより顕微鏡的な修正などの機能でこの問題を回避していました。

例えば、年の初めのちょうど頃、ベエリーは、WhatsApp を実行している Android デバイスをフィンガープリントできる手段がもはや機能しなくなったことに気付きました。iPhone はまだ十分なメタデータを漏らし、3番目の大きなモバイル OS はないため、結果は今のところ議論の余地があります。一般的に、ベエリーの研究に対する部分的な対応として、開発者は静かに無言の ping を送信する手段の一部を排除しています。

ベエリーはこのアプローチに異議を唱えています。「彼らはメッセージ タイプごとにメッセージ タイプを実行しています。これは少しハンマーです。「メッセージ」には数十の種類があります。ライブ位置情報、オーディオ関連、あらゆる種類のメディア関連、投票などです。すべての新機能は、サイレント ping 用の新しい方法です。だからそれははるかに難しい」と彼は言っています。ソーシャル メディア プラットフォームのように単に見知らぬ人からユーザーを守るよりも。

「WhatsAppは素晴らしい」と彼は認めています。「Google がメール暗号化がないため電子メールを読んでいる Gmail で得られるもの、例えば、よりもはるかに優れていると思います。とは言え、大きな力には大きな責任が伴います。事前に承認された他のクライアントのみがあなたに到達できれば、すべてが変わると思います。環境全体がはるかに安全になります。」

最新の Dark Reading Confidential ポッドキャストをお見逃しなく。セキュリティ上司は AI にすべて対応しています：その理由はここです。ここでは、Reddit CISO の Fredrick Lee と Omdia アナリストの Dave Gruber が、SOC の AI と機械学習について、成功したデプロイメントがどのように（またはそうではなかったか）、および AI セキュリティ製品の将来について議論しています。今すぐ聞いてください！