数週間前、 WhatsApp は会話を保護するためにアプリにコード ブロッキングを実装しました。ユーザーが iPhone の Touch ID または Face ID で認証されている場合にのみ、アプリのロックを解除してアクセスできる機能。セキュリティ エラーにより、ユーザー認証を回避して会話にアクセスできるようになるため、私たちはそう考えました。
WhatsApp for iOS の脆弱性には、このタイプの脆弱性の場合と同様に、二次プロセスを介したコンテンツへのアクセスが含まれます。新機能の設計プロセスのある時点で、アプリのアイコンをクリックする以外に WhatsApp にアクセスする方法があるとは誰も考えませんでした。そしてそれが発見されたのです。
ゲートウェイとしての共有メニュー
Reddit ユーザーが発見したように、このアプリはWahtsApp 拡張機能を使用して共有メニューからアクセスできます。要件は、ユーザーがアプリを閉じた直後にデフォルトでコードを要求されるように設定していないことです。オプションが「1 分後」、「15 分後」、または「1 時間後」に設定されている場合は機能します。手順は次のとおりです。
- 任意のアプリ (写真など) から、ファイルを共有して共有メニューにアクセスします。
- WhatsApp で共有してみてください。アプリは、Touch ID または Face ID 認証を必要とせずに開きます。
- アプリは最後にアクセスしてからの時間をリセットしているため、iPhone のホーム画面に戻って直接 WhatsApp に入ることができます。
アプリで設定された間隔が 1 分の場合、次の 1 分間はアクセスできるようになります。 15 分であれば、その 15 分は残りますが、1 時間でも同じことが起こります。いずれにせよ、許可された時間が経過した場合は、プロセスを再度実行するだけで、再びアクセスできるようになります。
脆弱性の影響を受けないようにするにはどうすればよいでしょうか?
Facebook (WhatsApp の責任者) はロイターに連絡し、このエラーを認識しており、できるだけ早く修正するよう取り組んでいることを確認しました。そのソリューションはアップデートの形で提供されますが、ユーザーとして何かできることはあるでしょうか?
WahtsApp の共有オプションを無効にしても、WhatsApp を経由せず、認証やコードを必要とせずに誰でも拡張機能を再度有効にできるため、役に立ちません。ただし、すでに見たように、再度認証を要求する時間間隔を選択した場合にのみ影響します。したがって、認証が「すぐに」必要になるようにオプションを変更することが最善です。これは、WhatsApp > 設定 > アカウント > プライバシー > 画面ロック > すぐに見つかります。それはもっと面倒なことかもしれませんが、WhatsAppが更新されるまでは不可欠です。