WhatsApp は大きな問題に直面していますが、幸いにも悪化はしていません。同社のアプリには機密データの漏洩を引き起こす可能性のある脆弱性があった。 CさんによるとHeck Point Research (CPR) の WhatsApp には、データへの不正アクセス、さらにはエンドツーエンドの暗号化のバイパスを可能にするエクスプロイトがありました。
WhatsApp はすでにこの脆弱性を解決していますが、特にデータへのアクセスの点で深刻であることが判明しました。ただし、セキュリティ会社によると、悪用するのは非常に複雑であるため、ユーザーへのリスクは最小限に抑えられています。
このエクスプロイトを実行するには一連の複雑な手順が必要で、攻撃者がデータにアクセスするには大規模なユーザー操作が必要でした。すべての手順が正しく実行された場合、WhatsApp のメモリから機密情報が読み取られる可能性があります。
実行が非常に複雑な WhatsApp の脆弱性
このエクスプロイトでは、一連の複雑な手順に加えて、攻撃者が悪意のある画像を含む添付ファイルを送信する必要がありました。画像が開かれ、特定のフィルターが適用されると、悪意のあるコードが実行されます。このようにして、画像が攻撃者に送り返されると、ユーザーのデータが暴露されます。メモリクラッシュの原因:
この脆弱性は WhatsApp の画像フィルタ機能に関連しており、ユーザーが悪意を持って作成された画像ファイルを含む添付ファイルを開いてフィルタを適用し、そのフィルタが適用された画像を攻撃者に送り返したときに引き起こされました。
幸いなことに、このエクスプロイトを利用して WhatsApp ユーザーからデータを取得する攻撃者はいなかったようです。 CPR は 2020 年 11 月 10 日にこの脆弱性を同社に通知し、このバグは今年初めに修正されました。
実際、WhatsApp の現在のバージョンには、悪用を回避するためにフィルターを使用して編集された画像の整合性を検証する 2 つの方法が含まれています。
参考資料一覧
- https://9to5mac.com/2021/09/02/whatsapp-vulnerability-could-lead-to-sensitive-data-leakage/