Check Point Software Technologies、イスラエルの会社が WhatsAppのグループチャット参加者をブロックすることを可能にした脆弱性 についての研究を公開しました。
ハッカーは参加者としてグループチャットに参加し、特定のパラメータを変更してからWhatsApp Webを利用して悪意のあるメッセージを送信することができました。こうして攻撃者は、メッセンジャーの全ての機能にアクセスできないようにしてグループチャットの全員に障害の連鎖を作り出しました。ユーザーはWhatsAppを削除して再ダウンロードしましたが、会話には戻れませんでした。エラーの連鎖を断ち切るためには、最終的にチャット自体を削除しなければなりませんでした。この問題は、現在ではバージョン2.19.246以降のアプリケーションで解決されました。
また、脆弱性により、ハッカーはWeb版を使用してユーザーがチャットで送信したメッセージの情報を正確に複製し、それをブラウザに表示することが可能になりました。アプリケーションは常に送信者の電話番号を確認し、それを識別します。
送信者の電話番号からパラメータを置き換えるための情報は全て揃っていたため、エラーの連鎖を開始することができました。これにより、ハッカーはチャットのデータを受信し、それらを永久に削除することができました。
脆弱性の原因は、XMPPインスタントメッセージングプロトコルの特性にありました。
