WhatsApp で位置情報を保護する方法
WhatsApp を使用している場合は、おそらく、WhatsApp がエンドツーエンド暗号化 (E2EE) を使用して、目的の受信者のみがメッセージを読めるようにする安全なメッセージング アプリとして販売されていることをすでにご存知でしょう。そしてその主張は有効です。 WhatsApp では E2EE がデフォルトで有効になっているため、メッセージを送信している相手以外は、Meta (旧 Facebook、WhatsApp の親会社) でさえも、メッセージを読むことができません。
しかし、残念ながら、それだけではありません。 WhatsApp の使用時には、それほど保護されていない他の種類のデータが関係します。たとえば、セキュリティ研究者は最近、WhatsApp のエンドツーエンド暗号化にもかかわらず、高い確率で位置情報を推測する方法を発見しました。
この投稿では、上記のスキームがどのように機能するかを明らかにし、メッセージング サービスの使用中に自分自身を保護する方法を説明します。
どうやって あなたの位置情報データが公開される可能性があります ワッツアップ
セキュリティ研究者 特定のタイミング攻撃を使用して、WhatsApp ユーザーの位置情報を 75% 近い精度で取得する方法を発見しました。攻撃者はターゲットにメッセージを送信し、攻撃者に送り返される配信通知に基づいて受信にかかる時間を測定します。
WhatsApp を実行しているすべてのオペレーティング システムとデバイスは、このタイミング攻撃に対して脆弱です。これは、モバイル ネットワークとインスタント メッセージング サーバー インフラストラクチャの構成方法によって、メッセージが配信されるまでのパスが決定されるためです。言い換えれば、これらの信号経路により、ターゲットの位置に応じて配信に予測可能な遅延が生じます。
それを少し解いてみましょう。
上記の意味は、私があなたにメッセージを送信し、既読通知ではなくメッセージの配信通知を受け取るまでにかかる時間を計測した場合、そのタイミングは、メッセージがあなたのデバイスに到達するまでに必要な移動距離に相当するということです。
もちろん、値を得るにはタイミングが非常に正確である必要があります。しかし、これは次のようなパケット キャプチャ アプリケーションを実行することで簡単に実現できます。 ワイヤーシャーク 。そのタイミング データから位置を推測するには、攻撃者はベースラインを確立する必要があります。つまり、攻撃者はターゲットが既知の場所にいるときに、まずターゲットにメッセージを送信する必要があります。そのため、ターゲットが仕事中であることがわかったときにターゲットにメッセージを送信し、配信通知のタイミングに注意します。その後、ターゲットが自宅、ジム、両親の家などにいるときに、これらのステップを繰り返します。
この調整データを取得すると、攻撃者は、通知のタイミングを測定し、そのタイミングを調整データ内のいずれかの位置と照合することで、自分の位置がまだわかっていない場合でも、ターゲットの位置を特定できるようになります。
研究者らは、このタイミング攻撃により、WiFi または LTE/5G に接続しているかどうかに関係なく、攻撃者が被害者の国、都市、地区を見つけることができる可能性があることを発見しました。
の危険性 位置追跡
安全でプライベートなメッセンジャー アプリであることを宣伝しているアプリが、このタイミング攻撃に対して脆弱であるというのは、非常に不快なことです。しかし、位置情報を公開すると、ユーザーに誤ったプライバシーとセキュリティの感覚を与えるだけでなく、かなりの数の損害が発生する可能性があります。
自発的または非自発的に位置データを共有すると、あらゆる種類の潜在的な危害にさらされることになります。地理位置情報データは、私たちの生活について非常に明らかにします。そのため、データ ブローカーは位置データを収集できる最も貴重な情報の一部とみなしています。
考えられるリスクには次のようなものがあります。
- ストーキング
- 盗難
- 家庭内虐待
- 脅迫
- 差別
- 操作
そしてリストは続きます。悪意のある人物があなたの動きを長期にわたって追跡できる場合、あなたはあらゆる種類の危害を受けやすくなります。上記のリストは、起こり得ることのほんの一部です。
ありがたいことに、この攻撃は思っているよりも難しいです
この攻撃は、ターゲットにメッセージを送信し、ストップウォッチを使用して携帯電話が配信通知を受信するまでにかかる時間を測定するだけでは達成できません。
まず、この攻撃は赤の他人の間では起こり得ないということは注目に値します。攻撃が機能するためには、被害者が事前に WhatsApp でメッセージをやり取りしている必要があるため、加害者は被害者をある程度知っている必要があります。
その後、攻撃者は次を使用する必要があります Wireshark – または同様のパケット キャプチャ アプリケーション – ネットワーク トラフィック分析を実行して、配信されたステータス通知の一部であるパケットを特定します。これらのパケットは、サイズまたは構造パターンによって識別できます。
パケットが識別されると、攻撃者はさまざまな場所を分類し、キャリブレーション データ セットを参照して、ターゲットの場所に相関する往復時間に一致させようとします。
自分の位置情報が知られるのを防ぐにはどうすればよいでしょうか?
この攻撃を軽減する方法は、サーバー側 (WhatsApp 開発者) かクライアント側 (WhatsApp ユーザー) によって異なります。
サーバー側の防御
結局のところ、このスキームをテストしているときに、研究者チームはメッセージの受信中に電話がアイドル状態になることがあり、配信通知のタイミングに影響を与え、その特定の試みを無効にすることが判明しました。
したがって、開発者がこの問題を軽減する良い方法は、送信者が配信確認を受信するまでにかかる時間をランダム化することです。研究者らは、配信通知の有用性を維持しながら、1 ~ 20 秒の間であればこのタイミング攻撃を無効化できると述べています。
クライアント側の防御
これは位置情報を推定するために使用されるタイミング攻撃であるため、デバイスの位置情報サービスを無効にしても役に立ちません。それでも、このタイミング攻撃を回避するためにできることはあります。でWhatsApp で VPN を確認します。
自分自身を守りたいWhatsAppユーザーにとって最良の選択肢は、VPNを使用することです。特にお勧めしますNordVPNただし、代替品質をリストした記事があります WhatsApp 用の VPN 。
VPN を使用すると、デバイスの接続に遅延が発生します。そして、その余分なレイテンシーは、次のことを行うのに十分なはずです 難読化する 位置情報を取得してこの攻撃を阻止します。
VPN 使用時の追加のヒントは次のとおりです。
- 実際の物理的な場所から適度に離れた VPN サーバーに接続して、配信通知のタイミングをぼかすのに十分な遅延を確保します。
- VPN サーバーを定期的に切り替えて、タイミング データのランダム性を高めます。
Whatsapp のトップ VPN をリスクなしで試してみませんか?
NordVPN は、フル機能を備えたリスクのない 30 日間のトライアルを提供しています このページで登録すると 。 WhatsApp で第 1 位と評価された VPN を 1 か月間制限なしで使用できます — 長期的な契約を結ぶ前にサービスをテストしたい場合に最適です。
隠された用語はありません — NordVPN が自分には合わないと判断した場合は、30 日以内にサポートに連絡してください。全額返金されます。 ここから NordVPN トライアルを開始してください 。
結論
つまり、WhatsApp が位置情報を明らかにするタイミング攻撃に対して脆弱であるということです。ありがたいことに、開発者が通知配信システムにランダムなタイミング遅延を組み込むことで穴をふさぐまで、この攻撃ベクトルを無効化するために使用できる回避策があります。
それはまさにそれを示すことになります サイバーセキュリティ は、終わりのないもぐらたたきのゲームです。アプリとサービスは安全です…そうでなくなるまで。
いつものように、安全を確保する最善の方法は常に情報を入手することです。
