WhatsAppは、Androidアプリに影響を与える「重大」と評価されたセキュリティ脆弱性の詳細を公開した。この脆弱性により、攻撃者はビデオ通話中に被害者のスマートフォンにリモートからマルウェアを仕掛けることができる可能性がある。
WhatsAppは、CVE-2022-36934として追跡され、深刻度は10段階中9.8と評価されているこの脆弱性の詳細を、整数オーバーフローのバグと説明しています。これは、アプリが計算処理を実行しようとした際に割り当てられたメモリに空き容量がない場合に発生し、データが溢れてシステムメモリの他の部分が悪意のあるコードで上書きされる可能性があります。
WhatsAppはこのバグについてこれ以上の詳細を明らかにしていない。しかし、セキュリティ調査会社Malwarebytesは独自の技術分析で、このバグはWhatsAppアプリの「ビデオ通話ハンドラー」と呼ばれるコンポーネントに存在し、これが発動されると攻撃者が被害者のアプリを完全に制御できるようになると述べている。
WhatsAppの広報担当者ジョシュア・ブレックマン氏はTechCrunchに対し、バグは社内で発見されたもので、同社では「悪用された形跡はない」と語った。
深刻度が「緊急」と評価されたメモリ脆弱性は、2019年にWhatsAppがイスラエルのスパイウェアメーカーNSO Groupの仕業と断定したバグに類似しており、ジャーナリスト、人権擁護活動家、その他の民間人を含む1,400人の被害者の携帯電話が攻撃対象となりました。この攻撃はWhatsAppの音声通話機能のバグを悪用したもので、通話の応答の有無にかかわらず、発信者が被害者のデバイスにスパイウェアを仕掛けることが可能でした。
WhatsAppは今週、深刻度が10点満点中7.8点で「高」と評価された別の脆弱性CVE-2022-27492の詳細も公開した。この脆弱性により、ハッカーは悪意のあるビデオファイルを送信した後、被害者のiOSデバイス上で悪意のあるコードを実行できる可能性がある。
「未知の入力による操作は、メモリ破損の脆弱性につながります」と、Malwarebytesのインテリジェンス研究者であるピーター・アーンツ氏は述べています。「この脆弱性を悪用するには、攻撃者は細工した動画ファイルをユーザーのWhatsAppメッセンジャーにドロップし、ユーザーに再生させる必要があります。」
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
どちらの脆弱性もWhatsAppの最新バージョンで修正されています。今すぐアップデートしてください。
FacebookユーザーがMetaを提訴、同社がiOS上で抜け穴を利用して追跡していると非難
トピック
カーリー・ペイジはTechCrunchのシニアレポーターとして、サイバーセキュリティ分野を担当していました。それ以前は、Forbes、TechRadar、WIREDなどのメディアに10年以上寄稿し、テクノロジー業界で活躍していました。
カーリーに安全に連絡するには、Signal +441536 853956 にご連絡ください。
バイオを見る
