WhatsApp
人気のモバイルメッセンジャーWhatsAppが先月下旬、WhatsApp Webの提供を開始しました。Webブラウザー上でWhatsAppを利用できるというサービスです。とはいっても、WebブラウザーはGoogle Chromeに限定されていますし、WhatsApp WebアカウントをiPhoneと紐付けることはできませんが。
もちろん、Kaspersky Daily(当ブログ)が関心を寄せているのはWhatsApp Webのセキュリティ対策です。このサービスが公開されてまだ1か月も経っていませんが、すでに脆弱性がいくつか発見され、セキュリティインシデントも発生しています。
インド在住の17歳の技術系ブロガーで、セキュリティリサーチャーでもあるIndrajeet Bhuyan氏は、WhatsApp Webとモバイル版WhatsAppとの相互処理に2つのバグを発見しました。いずれも興味深く、反論の余地のないバグです。ただ、WhatsAppのブログによれば、このWebクライアントはWhatsAppモバイルアプリの拡張機能で、モバイルデバイスから会話をミラーリングし、Chromeに表示しているだけとのことです。また、WhatsApp Webを使用するには、iOS以外のモバイルデバイスからインターネットに接続する必要があるようです。
@Kaspersky Daily: WhatsAppの新しいWebサービスの #セキュリティ を検証
Tweet
Bhuyan氏が発見したバグから明らかなように、WhatsApp Webのバグの大半は、モバイルアプリと何らかの関係があるようです。
Bhuyan氏が発見したバグの1つは、削除した写真に関するもので、WhatsAppのモバイルアプリとWebクライアント間の同期処理に関係しています。WhatsAppアプリとWhatsApp Webを紐付け、写真を削除すると、確かにモバイルアプリから削除されるのですが、Webクライアントからは閲覧可能な状態のままということです。一方、メッセージに関しては、モバイルアプリで削除したメッセージは、Webサービスからも削除されます。
Bhuyan氏が発見したもう1つのバグは、プロフィールのプライバシーオプションに関係しています。プロフィール写真は、誰でも閲覧可能、連絡先リストのみに公開、非公開のいずれかを設定できます。しかしBhuyan氏は、プロフィール写真の閲覧を連絡先リストだけに限定しても、Webアプリからは誰でも閲覧可能と主張しています。これは下の動画で確認できます。
Bhuyan氏は、14歳の頃から投稿している自身の技術関連ブログに、今回の調査を分析した記事を掲載しました。その記事には、今回の件をWhatsAppに報告済みで、同社は対応を進めていると書かれています。Kaspersky DailyがWhatsAppに問い合わせたところ、回答はありませんでした。
Kaspersky Labのリサーチャーであるファビオ・アッソリーニ(Fabio Assolini)は、WhatsAppプラットフォームを悪用する詐欺について調査してきました。Securelistの記事では、WhatsAppの偽のインストールページから、正規のGoogle Chromeプラグインではなく、怪しい拡張機能をインストールさせる詐欺が紹介されています。WhatsApp Webをインストールするには、web.whatsapp.comへアクセスし、モバイルデバイスでQRコードを読み込む必要があります。当然のことながら、詐欺師は本物そっくりのWebサイトに悪意あるQRコードを仕込み、感染させようとするでしょう。
実際、こうした詐欺行為は、WhatsApp Webが公開されるずっと前からデスクトップ版WhatsAppで行われていたようです。アッソリーニは、Windows向けWhatsAppを装ったブラジルのバンキング型トロイの木馬が、いくつかの不正ドメインでばら撒かれていることを確認しています。
このほか、WhatsApp Webクライアントに対する関心の高さを利用して電話番号を収集し、プレミアムSMSを使った詐欺に悪用しようともくろむ犯罪グループがいることもわかっています。これは、SMSにモバイルの番号を登録すると、サービス利用料がユーザーに請求され、犯罪者に支払われるという詐欺です。
今後は、WhatsApp Webのセキュリティ対策と他のメッセージングサービスとの違いを調査する予定です。
現時点の最善策は、WhatsApp Webを必ず正規のWebサイトからインストールすることです。
ヒント