WhatsAppクライアントの欠陥により、ハッカーがあらゆるデバイスに保存されているファイルを読み取ることが可能に

WhatsAppに重大なセキュリティ問題が発見された。Facebook傘下のメッセージングアプリが最新のパッチで更新されていない場合、ハッカーがユーザーのデバイスに保存されているファイルを読み取ることができる可能性がある。

2017年に発見されたセキュリティ上の欠陥、つまり攻撃者がWhatsApp内で返信文を改ざんできるという脆弱性に関する研究をきっかけに、Perimeter Xのセキュリティ研究者Gal Weizman氏による研究で、他にも複数のセキュリティ上の問題が明らかになりました。脆弱性によっては、Weizman氏はWhatsApp内で永続的なクロスサイトスクリプティング（XSS）を実行できるだけでなく、単一のメッセージを送信するだけで受信者のローカルファイルシステムを読み取ることも可能でした。

この脆弱性は、通常は iPhone アプリなどのモバイル版とペアになっている macOS および Windows 向けの WhatsApp のデスクトップ版で発生することが判明しました。

ワイツマン氏は調査の中で、WhatsAppのコンテンツセキュリティポリシーに、悪用につながる可能性のある問題を発見しました。これらの欠陥によって、深刻な事態がエスカレートする可能性がありました。軽微なケースでは、ウェブサイトへのリンクなどの追加情報を含むメッセージに表示されるWhatsAppバナーを操作される可能性があり、メッセージを改ざんすることで、Facebookへのリンクを装いながら、実際には悪意のあるウェブサイトのURLが含まれている可能性がありました。

CSPのさらなる悪用によりXSS攻撃が可能になりましたが、通常はアプリに損害を与える程度ですが、デスクトップ版アプリでバナー操作を実行することで、攻撃者は被害者のコンピュータに関する情報を入手し、ローカルファイルを読み取ることができました。この時点で、ElectronベースのウェブアプリはElectron 4.1.4のChromiumバージョン69を使用していたことが判明しました。これは、XSS攻撃を可能とする脆弱性を含む古いバージョンです。

Chromium 69の使用も問題です。このリリースでは複数のリモートコード実行攻撃が可能であり、他にもいくつか存在します。ワイツマン氏はさらに、WhatsAppがElectronウェブアプリケーションを4.1.4からより新しいバージョンにアップデートしていれば、「このXSSは発生しなかっただろう」と示唆しました。

Facebookは1月下旬にデスクトップアプリとiPhoneアプリをアップデートし、問題を修正しました。ElectronはメッセージングおよびコラボレーションプラットフォームであるSlackとDiscordの中核を担っていますが、これらのプラットフォームが影響を受けたのか、あるいはパッチが適用されたのかは不明です。

WhatsAppデスクトップクライアントの比較的恥ずかしい欠陥の発覚は、Amazon CEOジェフ・ベゾス氏のiPhoneハッキング事件を受けてFacebookが現在直面している厳しい監視を考えると、大きな問題となっている。サウジアラビアのムハンマド・ビン・サルマン皇太子は、2018年に新聞社にベゾス氏に関する機密情報が漏洩するに至ったハッキン​​グ事件に関与したとされている。このハッキング事件には皇太子のWhatsAppアカウントから不正な動画が送信されたとされている。

これらの主張がなされた直後、Facebookの国際問題担当責任者で元英国副首相のニック・クレッグ卿は、アプリは安全だと主張した。BBCのインタビューでクレッグ卿は、WhatsAppの暗号化されたメッセージは「ハッキングされることはない」と主張し、送信中のメッセージに変更が加えられることもなかったと主張したが、どうやら事実はそうではないようだ。このWhatsAppクライアントの脆弱性が悪用されれば、ベゾス氏のハッキング事件は容易に引き起こされた可能性がある。

セキュリティ研究者は、メッセージ自体を開くのが危険な場合、エンドツーエンドの暗号化は意味がないとすぐに指摘した。