WhatsApp

WhatsApp は本日、いくつかの新しいセキュリティ機能の導入を発表しました。そのうちの 1 つは「デバイス検証」と呼ばれ、アカウント乗っ取り (ATO) 攻撃に対するより優れた保護を提供するように設計されています。

Device Verification は、マルウェアが、感染したモバイル デバイスから盗んだ認証キーや非公式のクライアントを介してアカウントになりすまし、それらを使用して標的のユーザーの連絡先リストに含まれる人々に詐欺やフィッシング メッセージを送信するのを防ぎます。

攻撃者によるアカウント乗っ取りの試みを、目に見えないバックエンド チェックで 3 つの新しいパラメータを使用して自動的にブロックします。デバイスに保存されたセキュリティ トークン、クライアントが WhatsApp のサーバーからメッセージを取得するために接続しているかどうかを識別するために使用されるノンス、および認証です。ユーザーのデバイスに非同期で ping を送信するチャレンジ。

「モバイル デバイス マルウェアは、ユーザーの許可なく電話を利用し、WhatsApp を使用して不要なメッセージを送信する可能性があるため、今日の人々のプライバシーとセキュリティに対する最大の脅威の 1 つです」と WhatsApp は述べています。

「これを防ぐために、アカウントを認証するのに役立つチェックを追加しました。ユーザーからのアクションは必要ありません。デバイスが侵害された場合でも、より適切に保護されます。これにより、WhatsApp を中断することなく使用し続けることができます。」

この機能は、すでに WhatsApp for Android のすべてのユーザーに展開されており、現在、世界中の iOS ユーザーにも展開されています。

WhatsAppは、アカウントが他のデバイスに移動されたときにユーザーに通知し、セキュリティコードを自動的に検証してサーバーへの安全な接続を確認するように設計された、さらに2つのセキュリティ機能を発表しました.

「アカウント保護」は、WhatsApp アカウントが新しいデバイスにリンクされている場合の二重チェックまたは追加のセキュリティ チェックとして機能し、不正なアカウント転送が試みられた場合に警告します。

アカウント保護アラート
アカウント保護アラート (WhatsApp)

「自動セキュリティ コード」は、 キーの透過性監査可能なキー ディレクトリ (AKD)を使用して、WhatsApp クライアントがユーザーの暗号化キーを自動的に検証し、エンドツーエンドの暗号化が有効になっているかどうかを確認できる新しい暗号化セキュリティ機能です。

「私たちの最もセキュリティ意識の高いユーザーは、意図した受信者とチャットしていることを確認するのに役立つ、セキュリティコード検証機能を常に利用できました」と WhatsApp は述べています。

「これが意味することは、暗号化タブをクリックすると、個人的な会話が保護されていることをすぐに確認できるということです。」

WhatsApp は 7 年前の 2016 年 4 月に エンド ツー エンドの暗号化を導入し、2021 年 10 月に iOS と Android でエンド ツー エンドの暗号化されたチャット バックアップを展開して、チャット コンテンツがどこに保存されているかに関係なくアクセスをブロックしました。

2 か月後の 2021 年 12 月に、 すべての新しいチャットにデフォルトの非表示メッセージを追加することで、プラットフォームのプライバシー コントロール機能を拡張しました。

WhatsApp の親会社である Meta によると、このインスタント メッセージングおよびビデオ通話プラットフォームは現在、180 か国以上の 20 億人以上が使用しています。