概要：既読通知を悪用した新たなサイバー攻撃

世界中の数十億人ものWhatsAppおよびSignalユーザーに影響を及ぼす、重大なセキュリティ脆弱性が発見されました。研究者たちは、ハッカーが既読通知（配信確認）機能を悪用し、ユーザーのアクティビティを密かに監視し、日々のルーティンを追跡し、さらにはバッテリーを消耗させることが可能であることを明らかにしました。これらの行為はすべて、痕跡を残さずに行われます。

「Careless Whisper」と名付けられたこの攻撃は、メッセージが相手に到達したことを確認する既読通知機能を悪用します。攻撃者は、被害者のデバイスに通知を表示させない特別なメッセージを作成し、サイレントな既読通知をトリガーします。これにより、検出されることなく継続的な監視が可能となります。

攻撃の仕組み

この脆弱性は、メッセージへのリアクション、編集、削除といった機能を利用します。WhatsAppとSignalでは、ユーザーは絵文字でメッセージに反応したり、メッセージを編集したりできますが、これらの操作は対象に通知することなく既読通知を生成します。攻撃者はこれらの見えないメッセージを繰り返し送信することで、応答時間を分析し、機密情報を抽出します。

最も懸念される点は、攻撃者が被害者の電話番号のみを必要とすることです。連絡先リストや既存の会話へのアクセスは不要です。これは、事実上30億人いるWhatsAppユーザーの誰でも標的になり得ることを意味します。

検出される情報とその影響

セキュリティ研究者たちは、攻撃者が被害者に関する詳細な情報を抽出できることを実証しました。具体的には：

• デバイス監視：個人が使用するすべてのデバイスとそのアクティブ/オフライン状態を明らかにし、潜在的に勤務地や自宅の住所を暴露する可能性があります。
• スクリーン時間追跡：応答パターンを分析することで、スマートフォンの画面がオンかオフかを判断し、睡眠スケジュールや日々のルーティンを秒単位の精度でマッピングします。
• アプリ使用状況の特定：メッセージアプリが起動中でアクティブに使用されているか、そして応答時間の違いを通じて特定のスマートフォンのモデルやオペレーティングシステムを特定できます。

研究者たちは、攻撃者がiPhoneのバッテリーを1時間あたり14〜18%消耗させ、大量の、検出されない不要なデータトラフィックを生成できることを証明しました。

ユーザーを保護する対策の欠如

ユーザーには事実上、保護策がありません。既読通知はどちらのアプリケーションの設定でもオフにすることができません。攻撃は通知を生成せず、被害者との既存の関係も必要とせず、効果的にブロックすることもできません。

この研究は、米上院職員、欧州委員会職員、国防総省職員など、機密性の高い通信にこれらのアプリを利用しているハイプロファイルなターゲットにも影響を与えます。多くの政府関係者の電話番号は公開されているため、彼らは特に脆弱です。

開示状況と今後の課題

Arxivによると、研究者たちは2024年9月にMetaとSignalに調査結果を開示しましたが、具体的な対応はまだありません。セキュリティコミュニティは、両社に対し、既読通知を知っている連絡先に制限し、より厳格なサーバーサイドでのレート制限を実装するよう強く求めています。それまで、数十億人のユーザーがこの見えない脅威に晒され続けることになります。

---

元記事: https://gbhackers.com/hackers-exploit-delivery-receipts-in-messaging-app/