WhatsAppとTelegramの脆弱性により、攻撃者はアカウントを完全に制御できる [U]c

更新: Telegram は脆弱性の修正に関する声明を発表しました。

本日、WhatsAppに重大なセキュリティ欠陥が発覚しました。一部メディアはTelegramにも同じ問題があると誤って報じています。番号: https://t.co/HwDLbiBvZS

— Telegram Messenger (@telegram) 2017年3月15日

Check Point社が最近公表した脆弱性により、WhatsAppとTelegramはどちらも特に悪質なオンライン攻撃に対して脆弱であることが判明しました。多くの攻撃はユーザーデータの断片的な情報を取得するにとどまりますが、今回の脆弱性により攻撃者はユーザーアカウントを完全に制御することが可能になりました。一度侵入すると、攻撃者は以前に共有した写真や連絡先情報をダウンロードできるだけでなく、さらに重要な点として、ユーザーの友人アカウントにもアクセスできるようになります。両社はこれらのWebクライアントの脆弱性を認識し、修正プログラムをリリースしました。

先週、ウィキリークスからCIAがiOSマルウェアと脆弱性対策に取り組んでいるチームを派遣しているという報道がありました。報道の多くは、ソーシャルメディアや有名なメッセージングクライアントが既に侵害を受け、CIAに監視されていることに焦点を当てていました。当初の衝撃が収まった後、ウィキリークス側の不適切な表現が、クライアントが実際に侵害されたことを意味するわけではないことが明らかになりました。これにより不安はいくらか和らぎましたが、本日のチェック・ポイントによる情報開示は、Webクライアントが依然として安全ではないことを示しています。

チェック・ポイントは新たに公開した情報開示の中で、悪意のあるファイルを作成し、WhatsAppとTelegramのユーザーアカウントを完全に乗っ取る方法について説明しています。MIMEタイプを偽装し、画像プレビューを表示するHTMLファイルを作成することで、攻撃者はユーザーに共有コンテンツをクリックさせ、アカウントを完全に乗っ取ることができました。

Check Pointが公開したデモ動画は、 攻撃がいかに迅速かつシームレスに実行されるかを示しています。被害者がファイルをクリックしてデータを読み込むとすぐに、攻撃者はアカウントに侵入し、好きなようにデータを取得し始めることができます。

アカウントが乗っ取られると、WhatsAppユーザーは、別のコンピューターまたはブラウザでWhatsAppが開いていることがほぼ瞬時に通知されます。Telegramユーザーは、複数のブラウザセッションを同時に開くことができるため、通知すら受け取れません。技術的な詳細については、  Check Pointのウェブサイトをご覧ください。

この脆弱性はWhatsAppとTelegramによって修正される可能性がありますが、新たな脆弱性がいずれ発生しないということではありません。このような脆弱性から身を守るために、知らない送信者から共有されたコンテンツは絶対にクリックしないでください。

sepute.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。