「WhatsAppに問題、『潜在的な攻撃者』が暗号化されたグループチャットの内容を盗聴できることが判明」

thehackernews.com

Facebook傘下のWhatsAppや、その通信プロトコルの元を提供しているSignalに、潜在的な問題があると判明しました。これらで使われるOpenWhsiperは端から端までの全域暗号化（end-to-end encryption）などで、運営者（WhatsAppやSignal自身）すら盗聴できないという秘匿性が高い通信を可能とする点がウリです。

今回判明した攻撃手法は、サーバを掌握した状態が前提です。その上でグループチャットに攻撃者が管理するメンバーを追加すると内容が盗聴できる、というもの。1対1の通信には、この影響は全くありません。

「グループチャットにメンバーを追加したら分かるからいいのでは？」という話もあるのですが、同時にサーバ管理者はメッセージを改変（またはブロック）することも可能なため、メンバー追加メッセージをブロックすることで追加を見えづらくできる、と（本件を発見した）研究者は指摘しています。

研究者は対策として、メンバーの追加にはグループ管理者の認証を求めるべきとしています。

WhatsAppは本件について事前に通知を受けていたものの、他のメンバーがわかる、とコメントしています（つまり少なくとも当面は対応する考えはない模様）。

OpenWhisperのアピールポイントが「たとえ事業者自身であっても通信内容を盗聴できない（だから仮にNSAなどにFISAで強制されても内容が漏洩することはない）」であることを考えると、「対策されない限りグループチャットはOpenWhisperに期待される安全性は満たさない」とみられても仕方ないかと思います。