更新WhatsApp のセキュリティ上の欠陥は、被害者のスマートフォンにスパイウェアを注入するために悪用される可能性があり、実際に悪用された事例もあります。スパイがターゲットの番号に罠を仕掛けた音声通話を行うだけで、侵入できます。被害者は携帯電話の電源を入れたままにしておく以外、何もする必要はありません。
Facebook所有のこのソフトウェアには、典型的なバッファオーバーフローの脆弱性があります。つまり、ハッカーがアプリケーションを乗っ取って悪意のあるコードを実行すると、暗号化されたチャットを精査したり、通話を盗聴したり、マイクとカメラをオンにしたり、携帯端末上の写真、連絡先、その他の情報にアクセスしたり、さらにはデバイスのセキュリティをさらに侵害したりする可能性があります。通話記録も改ざんされ、感染経路が隠蔽される可能性があります。
この侵入を成功させるには、攻撃者は被害者との音声通話を開始するときに送信されるデータ パケットを注意深く操作する必要があります。これらのパケットがターゲットのスマートフォンで受信されると、WhatsApp 内の内部バッファがオーバーフローし、アプリのメモリの他の部分が上書きされ、スヌープがチャット アプリケーションを乗っ取ることができるようになります。
Facebookのエンジニアたちは週末にかけて、CVE-2019-3568と命名されたこの脆弱性を修正するために奔走し、月曜日にはWhatsAppの最新のセキュリティ強化版がユーザーに配信されました。お使いのスマートフォンでWhatsAppのアップデートが促された場合は、それを実行するか、手動で新しいバージョンを確認してください。この脆弱性は、世界中で15億人が使用しているWhatsAppのGoogle Android、Apple iOS、Microsoft Windows Phone版に存在します。
Facebookは月曜日のアドバイザリで、「WhatsApp VoIP [ボイスオーバーIP] スタックのバッファオーバーフロー脆弱性により、特別に細工された一連のSRTCPパケットを標的の電話番号に送信することでリモートコード実行が可能になる」と述べた。
「この問題は、Android版WhatsApp(バージョン2.19.134以前)、Android版WhatsApp Business(バージョン2.19.44以前)、iOS版WhatsApp(バージョン2.19.51以前)、iOS版WhatsApp Business(バージョン2.19.51以前)、Windows Phone版WhatsApp(バージョン2.18.348以前)、およびTizen版WhatsApp(バージョン2.18.15以前)に影響します。」
監視
このような脆弱性を悪用するのは容易ではありませんが、高度なスキルを持つ組織や企業が、このレベルの監視を実現できるツールを開発しており、政府機関やその他の団体に特定の標的への攻撃に使用するために販売されています。この脆弱性は、関心のある人物の生活を詮索することに熱心な国家のスパイにとって格好の標的となるでしょう。
結局のところ、バッファをオーバーフローさせてコード自体をハッキングできるのに、なぜ WhatsApp の強力なエンドツーエンドの暗号化を解読する必要があるのでしょうか?
Facebookは、この攻撃を報じたフィナンシャル・タイムズに対し、「今回の攻撃は、政府と連携し、携帯電話のOSの機能を乗っ取るとされるスパイウェアを配布することで知られる民間企業による攻撃の特徴をすべて備えている」と述べた。「私たちは、可能な限りの情報を共有し、市民社会に情報を伝えるために、複数の人権団体に情報提供を依頼している」
そんな会社はどこにあるのでしょうか?
5月初旬、このバグを悪用した攻撃者が初めて確認され、被害者のスマートフォンに感染・侵入しました。その後、WhatsAppのバックエンドソフトウェアに変更が加えられ、さらなる攻撃を阻止しました。その後、チームはパッチ適用済みのアプリをユーザーに提供しました。WhatsAppチームは現在も調査中ですが、標的とされた人数やスパイ活動の規模はまだ明らかになっていません。米国の検察当局にも通報済みです。
今月WhatsAppユーザーに対して使用されたエクスプロイトと監視ソフトウェアは、NSOグループが開発したとみられています。評価額10億ドルのイスラエル企業であるこの企業は、「ペガサス」と呼ばれる高性能スパイウェアパッケージを世界各国の政府に販売しており、表向きは犯罪者やテロリストの監視と捕獲のみに使用できるようにしています。被害者は通常、テキストメッセージを受け取り、リンクをクリックするよう誘導されます。リンクをクリックすると、悪質なソフトウェアがダウンロードされインストールされます。しかし、NSOはユーザーによる操作を一切回避し、自動的にサイレント感染させる方法を発見したようです。
NSOグループは長らく、クリック不要のインストール機能を備えていると自慢してきた。しかし、ここでの本当の話は、WhatsAppがその機能を発見したということだ。
— エヴァ(@evacide)2019年5月13日
Pegasusは、被害者のデバイスにインストールされると、通話を録音したり、メッセージを開いたり、カメラとマイクを起動して監視を強化したり、位置情報を送信したりすることができます。NSOは顧客を慎重に審査していると主張していますが、このマルウェアはジャーナリスト、人権活動家、弁護士などの携帯電話で発見されています。
WhatsAppチャットアプリのセキュリティ対策怠慢騒動でラップが話題に
続きを読む
Pegasusなどの拡散監視を支援するカナダの非営利団体Citizen Labによると、ロンドンとサンフランシスコのFacebookエンジニアがソフトウェアのパッチ版をリリースしようと奔走する中、日曜夜遅くに何者かがVoIPエクスプロイトを悪用し、英国在住の人権弁護士の携帯電話に感染させようとしたという。しかし、その週の初めに導入されたバックエンド防御のおかげで、侵入の試みは失敗したと伝えられている。
また、匿名の弁護士は、NSOグループのスパイウェアの被害に遭ったと主張するメキシコとサウジアラビアの人々がイスラエルで同社を提訴するのを支援したとも伝えられている。しかし、エクスプロイト開発者らは不正行為を否定している。
「NSOはいかなる状況においても、自社の技術の運用や標的の特定に関与することはありません。自社の技術は情報機関や法執行機関によってのみ運用されています」と、イスラエル企業は声明で述べた。「NSOは、この人物(英国の弁護士)を含め、いかなる個人や組織を標的とするために、自社の技術を独自の権利で使用したり、使用したりすることはありません。」
一方、アムネスティ・インターナショナルなどは今週、イスラエル軍に対し、人権問題に関する実績に疑問のある政府に販売されているという理由で、NSOグループのソフトウェアの輸出を禁止するよう要請する予定だ。®
追加更新
人権弁護士は火曜日、フォーブス誌に「約3週間前の早朝、スウェーデンの国番号+46の番号からWhatsAppで奇妙なビデオ通話を受け始めた」と語り、政府のスパイウェアの使用を調査しているシチズン・ラボに通報した。
その後、研究所はWhatsAppにそのことを伝えた。WhatsAppは、ソフトウェアの使用テレメトリで奇妙なクラッシュに気づき、セキュリティホールを塞ぐ作業にすでに取り組んでいた。
