WhatsApp を捨てて、よりプライベートなメッセンジャーを使うべきでしょうか?
今日、セキュリティ コミュニティは混乱に陥りました。保護者を出版しました 報告 WhatsAppの想定されるエンドツーエンド暗号化には重大な脆弱性が含まれており、Facebookと共謀している政府がユーザーの会話をスパイできる可能性があると主張した。
保護者そして批評家は、この脆弱性をユーザーの信頼の重大な侵害であると特徴づけました。 WhatsAppを擁護するために、 他のセキュリティ専門家 主張する保護者の報告書は憂慮すべき誇張表現である。
真実はおそらくその中間にあるでしょう。議論を分析し、何が起こっているのかを説明していきます。
WhatsAppの使用をやめるべきでしょうか?
この脆弱性の悪用には労力がかかるため、この脆弱性によって政府による大規模な監視にさらされることはありません。これは、大規模な大量のドラッグネット データ収集では実行できることではありません。普通の人はおそらく何も心配する必要はありません。
しかし、政府があなた個人を標的にすることを真剣に懸念しているのであれば、脆弱性がパッチされるまで WhatsApp の使用をやめるべきでしょう。
繰り返しになりますが、ターゲットを絞ったスパイ行為が正当な懸念事項である場合は、おそらく、そもそも世界最大の広告支援型の米国ベースのソーシャル ネットワークが所有するクローズドソースのアプリを使用すべきではありません。
WhatsApp の代替手段として考慮すべきものは次のとおりです。
信号
Signal は、暗号化メッセージングのゴールドスタンダードです。 WhatsApp は、エンドツーエンド暗号化方式で同じ名前の Signal プロトコルを使用しており、後でこの脆弱性を追加しました。 Signal は WhatsApp と同じ脆弱性の影響を受けておらず、これまでに重大な既知の脆弱性はありません。クライアントは無料のオープンソース ソフトウェアとして公開されているため、セキュリティ上の欠陥がないか誰でも監査できる (そして実際に監査されてきた) ことを意味します。ただし、実際の暗号化プロトコルはオープンソースではありません。
電報
Telegram は「秘密のチャット」機能でエンドツーエンドの暗号化を使用しており、Signal よりも人気があり、連絡先がすでに使用している可能性があるため、代替手段となる可能性が高くなります。 Telegram にも欠点がないわけではないことに注意してください。一部のアナリストは、彼らはそうだったと主張しています 秘密のチャットメッセージにプレーンテキストでアクセスできる ユーザーの携帯電話を遠隔から攻撃することによって。これは、WhatsApp のようにユーザー間を移動するメッセージを傍受して復号化できるほど深刻ではありませんが、検討する価値はあります。
確かに、Google でよく調べれば、ほとんどすべての人気アプリの脆弱性を発見したと主張する人を見つけることができます。
バイバー
Viber は WhatsApp の直後にエンドツーエンド暗号化を実装しました。当初はオプションでしたが、現在はデフォルトで有効になっています。ただし、Viber は Signal プロトコルを使用する代わりに、独自のセキュリティ機能を追加したいくつかのオープンソース プロトコルを選択しました。の セキュリティの概要 同社のウェブサイトには、「Viber のプロトコルは、Open Whisper Systems Signal アプリケーションで使用されている『ダブル ラチェット』プロトコルと同じ概念を使用していますが、Viber の実装はゼロから開発されており、Signal のソース コードを共有していません。」と記載されています。
サイバーダスト
Cyber Dust は、ダラス・マーベリックスのオーナーであるマーク・キューバン氏が宣伝する暗号化されたメッセージング アプリで、メッセージを開いてから 30 秒後に削除します。この機能は、共有に重点を置いた Snapchat に似たもので、安全なメッセージング アプリとしては直感に反しているように思えます。それにもかかわらず、メッセージはエンドツーエンドで暗号化され、クラウドに保存されることはありません。ユーザーが会話のスクリーンショットを撮ることは許可されていません。
チャットセキュア
真のオープンソースのエンドツーエンド暗号化メッセージング アプリが必要な場合は、ChatSecure が最適です。 iOS と Android で利用できるこのアプリは、ジャーナリストとその情報源を対象に販売されています。オフザレコ (OTR) メッセージングと拡張可能メッセージングおよびプレゼンス プロトコル (XMPP) の 2 つの暗号化プロトコルが使用可能です。
WhatsApp E2EE の脆弱性とは何ですか?
通常、メッセージを送信すると、メッセージは携帯電話から送信される前に暗号化され、インターネット経由で送信され、受信者の携帯電話に届くまで復号化されません。受信者の電話のみがメッセージを復号化できるキーを持っています。秘密キーは、メッセージが送信される前に生成され、ユーザー間で交換されます。これは「エンドツーエンド暗号化」または略して EE2E と呼ばれます。 WhatsApp は、Open Whisper Systems によって開発された Signal プロトコルを使用して、このプロセスを可能な限り安全にしています。
受信者が電話機を変更し、新しい電話機に WhatsApp をインストールした場合、古い電話機の秘密キーにはアクセスできません。つまり、メッセージを復号化できないということです。
両方のユーザーにとって不便となるメッセージの配信に失敗する代わりに、WhatsApp は次の内容を追加しました。保護者バックドアを呼び出します。アプリは受信者に知られることなくキー交換を再ネゴシエートし、メッセージを自動的に再送信します。送信者は、セキュリティ通知が有効になっている場合にのみ、新しいキーについて知ります。
つまり、誰かの電話が何らかの理由でオフラインになった場合、WhatsApp は新しい電話と秘密キーを偽造して、バックアップされたメッセージを受信して復号化する可能性があるということです。
さらに、WhatsApp は以前のメッセージを未送信としてマークする可能性があります。これは、実際の未送信メッセージだけでなく、会話全体が WhatsApp からアクセスできることを意味する可能性があります。
代わりに何が望ましいでしょうか?
Signal 暗号化メッセージング アプリでは、受信者が電話を変更すると、その受信者への未送信メッセージは送信者の電話で未配信としてマークされます。再度送信する必要があります。どちらかの側で秘密鍵が変更された場合は、両端のユーザーに通知されます。
WhatsApp は Signal メッセージング アプリと同じプロトコルを使用しますが、その上に暗号化キーを再ネゴシエートしてメッセージを自動的に再送信する機能を構築しました。さらに、通知もそれほど寛大ではありません。
この論争を受けて、WhatsApp がいくつかの変更を加えることが予想されます。少なくとも、自動キー再ネゴシエーションにオプトインするかオプトアウトするかの選択肢をユーザーに提供し、送信者と受信者の両方に通知することが良いスタートとなるでしょう。
ハッカーは私の WhatsApp メッセージを見ることができますか?
いいえ。この脆弱性を悪用するには、Facebook または WhatsApp (Facebook は WhatsApp を所有しています) との明示的な協力が必要です。
ただし、政府機関はFacebookに対し、ユーザーをスパイするよう要求(または強制)する可能性がある。簡単な仕事ではありませんが、可能です。
WhatsApp/Facebook は意図的にこの脆弱性を実装しましたか?
これは大きな話題になっています。 Facebook と WhatsApp は、ユーザー エクスペリエンスを向上させるためにこの脆弱性を実装したと主張しています。本質的に、受信者がオフラインであるか携帯電話を変更したという理由だけで、ユーザーが送信に失敗したメッセージに対処する必要がなくなることを望んでいませんでした。彼らは明らかに、暗号化キーが再ネゴシエートされたときにユーザーに通知するのは適切ではないと感じていました。 Facebookは2016年4月にこの問題を公的に認め、これは正常な動作だと述べた。
批評家は、この脆弱性は政府のスパイ機関が利用するバックドアとして意図的に実装されたと主張しています。それが WhatsApp の本当の意図であれば、脆弱性は「バグ」から「バックドア」になります。
WhatsAppのセキュリティ通知をオンにする方法
セキュリティ通知をオンにしても、キー ネゴシエーションが行われた後に未送信メッセージが自動的に再送信されることは停止されません。それでも、会話の相手が適切な相手とチャットしていることを確認するのに役立ちます。
WhatsApp のセキュリティ通知をオンにするには:
- WhatsAppを開く
- 右上隅にある 3 つの点をクリックします
- [設定] > [アカウント] > [セキュリティ] に移動します
- トグルセキュリティ通知を表示するの上
以下も参照してください。それは何ですか WhatsAppに最適なVPN 中国などの国でブロックされ検閲されている場所にアクセスするには。