これはどちらかというとAndroidのセキュリティの問題だが、DoubleThinkのCTOでコンサルタントでもあるBas Bosschertが、WhatsAppの暗号化システムに脆弱性を見つけた。これにより、ほかのアプリからユーザのチャットの会話をすべて読むことができる。
WhatsAppのチャットにアクセスするやり方を投稿したBosschertは、昨日(米国時間3/11)のAndroidの大幅なアップデートのあとにも、その脆弱性が残っていることを確認した。
その概要はこうだ:
WhatsApp for Androidは会話をデバイス本体のSDカードに保存するが、機器本体へのアクセスを許可されているアプリならそれにアクセスできる(デバイスへの完全なアクセスの可/不可はアプリごとにユーザが指定できる)。これはWhatsAppの側のセキュリティの欠陥というよりも、Androidのインフラの問題だ。
悪質なアプリはそこからさらに、WhatsAppの会話データベースにアクセスできる。上級ユーザなら、これはハッキングではなくてAndroidのデータ隔離システムの問題だと気づくだろう。
Bosschertはこの欠陥をテストするアプリを作ったが、それは、ユーザがかわいらしいアプリロード画面をぼけーっと見ている間に、データベースにファイルをアップロードする。
最近のリリースでWhatsAppはデータベースを暗号化するようになったので、SQLiteなどでは開けなくなったが、しかしBosschertによると、その暗号は自作の簡単なPythonスクリプトで解読できるそうだ。
そのやり方の詳細がここに載っている。
Facebookは今やWhatsAppのオーナーだから、今後数か月以内にはそのセキュリティを改良するだろう。でもそうなるとなおさら、Android自体の問題が際立つ。
Androidでは、多くのアプリがデフォルトではスマートフォン本体への完全なアクセスを許容されており、だからほかのアプリのデータでもアクセスしてどこかへアップロードできる。
これに対してAppleでは、アプリxyzはアプリxyzのデータにしかアクセスできない。だから悪質なデベロッパがダミーのアプリを作って、ほかのアプリのデータを読む、ということはできない。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))