人気のビデオ通話・メッセージアプリ「JusTalk」は、安全性と暗号化の両方を謳っています。しかし、セキュリティ上の欠陥により、ユーザーの暗号化されていないプライベートメッセージが大量にオンラインで発見され、アプリは安全でも暗号化もされていないことが判明しました。
このメッセージングアプリはアジア全域で広く利用されており、世界中で2,000万人のユーザーを抱え、急成長を遂げています。Google Playでは、子供向けのメッセージングアプリとして人気を博しているJusTalk Kidsが、Android版で100万回以上ダウンロードされていると報告されています。
JusTalk は、両アプリともエンドツーエンドで暗号化されており、会話に参加しているユーザーのみがメッセージを読めると述べており、同社の Web サイトでは「あなたと会話相手のみがメッセージを見たり、読んだり、聞いたりできます。JusTalk チームでさえも、ユーザーのデータにアクセスすることはできません」と自慢している。
しかし、TechCrunchが確認した膨大な内部データのレビューにより、これらの主張は真実ではないことが証明されました。データには、JusTalkユーザーからの数百万件ものメッセージと、それらの正確な送信日時、送信者と受信者の電話番号が含まれていました。さらに、アプリを使って発信された通話記録も含まれていました。
セキュリティ研究者のアヌラグ・セン氏は今週、このデータを発見し、TechCrunchに同社への報告支援を依頼した。メッセージングアプリを開発する中国拠点のクラウド企業Juphoonは、2016年にサービスをスピンアウトし、現在はNingbo Jusが所有・運営していると発表した。Ningbo Jusは、Juphoonのウェブサイトに記載されているオフィスと同じ場所に所在しているようだ。しかし、JusTalkの創設者であるレオ・Lv氏をはじめとする幹部に何度も連絡を取ろうとしたにもかかわらず、メールへの返信や返信はなく、同社は流出の修復を試みる姿勢を見せていない。Lv氏の携帯電話に送信されたテキストメッセージは、配信済みと表示されたものの、未読のままだった。
データに記録された各メッセージには、同じチャットのすべての電話番号が含まれていたため、JusTalk Kids アプリを使用して両親とチャットしていた子供たちの会話も含め、会話全体を追跡することができました。
内部データには、ユーザーの携帯電話から収集された数千人の詳細な位置情報も含まれており、米国、英国、インド、サウジアラビア、タイ、中国本土に多くのユーザーが集中していた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
セン氏によると、データにはサードパーティのアプリ「JusTalk 2nd Phone Number」の記録も含まれていた。このアプリは、ユーザーがプライベートの携帯電話番号を公開する代わりに、仮想の一時的な電話番号を生成して使用できるものだ。これらの記録の一部を確認すると、ユーザーの携帯電話番号だけでなく、生成されたすべての一時的な電話番号も明らかになった。
データの入手場所や入手方法は明らかにしていないが、セン氏が単独でデータを発見したのではないという証拠が見つかったため、公開を検討している。
これは、中国で相次いで発生しているデータ流出事件の最新のものです。今月初め、アリババのクラウドに保存されていた上海警察のデータベースから、約10億人の中国国民に関する膨大なデータベースが盗み出され、その一部がオンラインで公開されました。中国政府はこの流出についてまだ公式コメントを出していませんが、ソーシャルメディア上でのこの情報漏洩に関する言及は広く検閲されています。
10億件の膨大なデータ漏洩で中国の監視国家の実態が明らかに
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
