Buipe

昨年、WhatsAppはチャットプラットフォームでエンドツーエンドの暗号化を導入しました。これにより、デバイスから受信側へのデータ転送をハッキングしようとする者にとって、メッセージは解読不可能になりました。しかし本日、英国のニュースサービス「ガーディアン」が 、このチャットサービスにセキュリティ上のバックドアが存在し、Facebook（WhatsAppの親会社）やおそらく他の企業に、サービスを通じて送信された「暗号化された」メッセージを読むことを可能にしているという、痛烈な記事を掲載しました。

これはWhatsApp自身の立場とは異なる。同社は、サービスのオンライン従業員を含め、誰も送信されたメッセージを読むことはできないと主張している。傍受は、メッセージの送信者と受信者の両方が知らないうちに、オフラインのユーザーに対してWhatsAppが新しい暗号化キーの生成を強制することで可能になる。サービスは送信者を介してメッセージを再暗号化し、以前に配信できなかったメッセージを再送信しようとする。このプロセスの間、WhatsAppは関係するユーザーに知られずにメッセージの内容を傍受して読むことができる。送信者は、これが発生した場合に通知するオプションを手動で有効にすることができるが、受信者はWhatsAppがメッセージをいつ再暗号化したかを知る方法がない。

このセキュリティ上の欠陥、あるいはWhatsAppのプラットフォーム上での暗号化処理方法に意図的に追加されたバックドアは、鍵の変更によってWhatsAppが政府機関にユーザーのメッセージへのアクセスを許してしまうことを意味します。興味深いことに、WhatsAppの暗号化に見つかったバックドアは、同サービスで使用されているOpen Whisper SystemsのSignalプロトコルには含まれていません。人気のSignalアプリも採用しているこのプロトコルは、WhatsAppのように新しい鍵でメッセージを自動的に再送信するのではなく、オフラインのユーザーにはメッセージを送信せず、送信者にメッセージ配信失敗メッセージを表示します。

世界中で10億人以上のユーザーが利用するWhatsAppメッセージングサービスのこの脆弱性は、WhatsAppのこの脆弱性が言論の自由に対する大きな脅威であると考えるプライバシー活動家の間で大きな懸念を引き起こしている。

このバックドアを最初に発見したトビアス・ボルター氏によると、Facebookは2016年4月にこの問題について知らされていたものの、同社はこの問題を認識しており、これは「想定された動作」であると述べ、修正に取り組んでいるわけではないとしている。