チェック・ポイント、WhatsAppとTelegramのアカウント乗っ取り数億件を可能にする脆弱性を発見

この脆弱性が悪用されると、各ユーザ・アカウントが完全に乗っ取られ、攻撃者が個人およびグループの会話、写真、動画、その他の共有ファイル、連絡先情報などにアクセスすることが可能となります。

この脆弱性を悪用する攻撃者は、不正なコードを埋め込んだ一見無害な画像ファイルを標的のユーザに送信します。WhatsAppまたはTelegramのユーザが画像をクリックすると、攻撃者は直ちにそのユーザのストレージ・データに対するフル・アクセス権を取得し、アカウントを完全に乗っ取ることができます。攻撃者はこのアカウントの連絡先に登録されているすべてのアカウントに不正なファイルを送信し、攻撃を拡大させます。
 

チェック・ポイントは、2017年3月8日に、この脆弱性に関する情報をWhatsAppおよびTelegramのセキュリティ・チームに開示しました。両チームは脆弱性の存在を確認し、すでに全世界のWebクライアントの修正を完了しています。WhatsApp Webについては、確実に最新バージョンが読み込まれるよう、Webブラウザの再起動が推奨されます。

WhatsAppとTelegramはエンドツーエンドのメッセージ暗号化を導入し、通信する当事者以外はメッセージにアクセスできないようデータ・セキュリティ対策を施しています。しかし、この脆弱性発見前は、エンドツーエンドのメッセージが送信側で暗号化されたことによりWhatsAppとTelegramがその内容を検査できず、不正なコンテンツの送信を可能にしていました。脆弱性の修正後は、WhatsAppとTelegramそれぞれが暗号化の前にメッセージを検査して、不正なファイルの送信を未然に防止しています。

WhatsAppは、10億人以上のユーザを抱える、世界で最も広く利用されているインスタント・メッセージング・サービスです。WhatsAppのWebバージョンは、すべてのWebブラウザと、Android、iPhone（iOS）、Windows Phone 8.x、BlackBerry、BB10、Nokiaのスマートフォンなど、WhatsAppがサポートするすべてのプラットフォームに対応しています。

Telegramは、クラウド・ベースのモバイルおよびデスクトップ・メッセージング・アプリです。月間アクティブ・ユーザ数は1億人以上、1日あたり150億通以上のメッセージが送受信されています。

チェック・ポイントの製品脆弱性調査担当責任者、オーデッド・ヴァヌヌ（Oded Vanunu）は、次のように述べています。「今回確認されたのは、WhatsApp WebとTelegram Webのユーザ数億人を、完全なアカウント乗っ取りのリスクにさらす大変危険な脆弱性です。攻撃者は、一見無害な写真をユーザに送り付けるだけでアカウントを乗っ取り、メッセージの履歴や過去に共有されたすべての写真にアクセスし、そのユーザになりすましてメッセージを送信できます。」「WhatsAppとTelegram両社による迅速かつ責任感のある対応により、現在、全Webクライアントの脆弱性に対処済みです。」

引用元の英文ブログは下記をご参照ください。
http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/

 

■チェック･ポイントについて　　　ONE STEP AHEAD

チェック・ポイント・ソフトウェア・テクノロジーズ（ www.checkpoint.com ）は、あらゆる規模の組織に対応する世界トップクラスのセキュリティ・リーディング・カンパニーです。業界随一の検出率を誇る先進のセキュリティ対策により、お客様のネットワークをマルウェアなどの多岐にわたるサイバー攻撃から保護します。大規模ネットワークからモバイル・デバイスまでを保護する包括的なセキュリティ・アーキテクチャに加え、直感的で使いやすい総合的なセキュリティ管理ソリューションを提供しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。

チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（ http://www.checkpoint.co.jp/ ）は、1997年10月1日設立、東京都新宿区に拠点を置いています。