Jan 16, 2017

WhatsApp, what's up?

Facebook傘下のWhatsApp、完全暗号化を完了 「政府もわれわれも解除できない」 (2016/04/06)

 http://www.itmedia.co.jp/news/articles/1604/06/news069.html

 と、この時は言っていたんだが、、、

WhatsAppが脆弱性を”バックドア”だとする報道内容を否定 (01/15)

 http://jp.techcrunch.com/2017/01/15/20170113encrypted-messaging-platform-whatsapp-denies-backdoor-claim/

 Explained  What's Up With the WhatsApp 'Backdoor' Story? Feature or Bug! (01/14)
 http://b.hatena.ne.jp/entry/thehackernews.com/2017/01/whatsapp-backdoor-encryption.html
 「WhatsApp の暗号化メッセージにバックドアが仕込まれているのではないか問題の解説。
  1.相手の暗号鍵が頻繁に変更されるのを防ぐ仕組みがない、
  2.相手の暗号鍵が 変わったことを自動で 信用してしまう。」

何が拙いか、シナリオを想像すると(不正確かも)、、、
ターゲットがオフラインの間に、ターゲット宛にメッセージが送信される
(メッセージはWhatsAppのサーバに保留される)
この間、第三者がターゲットの電話番号でWhatsAppに登
(この第三者は、ターゲットの意思やSIMの有無に関らず、手元のSIMにターゲットの電話番号を合法的に設定できる組織!?)
(暗号鍵は新端末用に新規生成される)
第三者は、ターゲット宛のメッセージを難なく取得
送信者は(最も厳しい設定でも)事後に暗号鍵が変更された事を知る事ができるだけ
、、、続報に期待したい。

問題を指摘したBeolterさん自身は、Signalを使用している、との事。
Signalはオープンソースですし、ビルドの再現性を高める努力を重ねています。またサーバーに保管されるメタデータの量も、WhatsAppプライバシーポリシーに規定されている量より少ないと言われていますし、WhatsAppと同じくらい簡単に使えます」

---> 01/18 追記
 こちらに、発見者のBoelterさんのビデオもある。
 時間が出来たら見てみよう。
  ↓

 WhatsApp vulnerability explained: by the man who discovered it Tobias Boelter

 https://www.theguardian.com/technology/2017/jan/16/whatsapp-vulnerability-facebook


投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)