サーバーを使用している場合、雇用主はWhatsappメッセージにアクセスできますか？

Question

サーバーを使用している場合、雇用主がwhatsappメッセージにアクセスできるかどうか誰かが知っていますか？ Whatsappはメッセージは暗号化されていると言っていますが、これについてはよくわかりません。

D.W. · Answer

次のリサーチペーパーでは、WhatsAppに対する4つの攻撃について説明しています。それらが修正されたかどうかはわかりません。

誰にテキストメッセージを送っているのでしょうか？スマートフォンメッセージングアプリケーションのセキュリティを評価しています。
セバスチャンシュリッツィーザー、ピーターフルワート、ピーターキースバーグ、マヌエルリースナー、マーティンムラーザニ、マーカスフーバー、エドガーワイップル。 NDSS 2012。

なりすまし攻撃。1回の攻撃で、攻撃者は他人になりすますことができます。特に、攻撃者が特定の電話番号（被害者の電話番号）を念頭に置いている場合、攻撃者はその電話番号に自分自身を登録し、その電話番号を対象としたWhatsAppメッセージをすべて受信できます。論文のセクション5.2を参照してください。

これはあなたに関係があるかもしれません。

SMSスパム攻撃。2番目の攻撃では、攻撃者がWhatsAppサーバーから任意のテキストメッセージを世界中の誰にでも無料で送信できます。論文のセクション5.4を参照してください。

電話番号列挙攻撃。3番目の攻撃では、攻撃者は他のWhatsAppユーザーの電話番号を列挙し、使用しているオペレーティングシステムを特定できます。論文のセクション5.5を参照してください。

ステータスメッセージ偽造攻撃。4番目の攻撃では、攻撃者は他のWhatsAppユーザーのステータスメッセージを攻撃者が選択したものに変更できます。論文のセクション5.6を参照してください。

含意。これらはどれも、あなたが尋ねた特定の質問に直接対処するものではありません。ただし、これらの脆弱性はWhatsAppのセキュリティに対する私の自信を弱めます。

このホワイトペーパーに記載されている脆弱性は、非常に基本的で基本的な欠陥です。私たちはフェイスパームの領域を話している。この欠陥には、たとえば、アクセス制御や認証の完全な欠如が含まれます。だけでなく、クライアントへの不適切な信頼。（基本的に、OWASP A3、A8、およびA9違反です。）もちろん、誰でも間違いを犯す可能性がありますが、これらは基本的な間違いであり、WhatsApp開発者が何を間違えているのか疑問に思います作成された可能性があり、WhatsAppのセキュリティレビュープロセスの何が問題になり、これらが展開に組み込まれたか.

したがって、この分析に基づいて、私はWhatsAppのセキュリティに過度に依存することに消極的です。

nicko · Answer

この記事では、Whatsappの暗号化が弱すぎ、会社のセキュリティ問題への対応が不十分であると見なしています。

http://www.h-online.com/security/news/item/Account-theft-still-possible-with-latest-WhatsApp-1760639.html

この記事によると、送信者認証はより堅牢になりましたが、プライバシーの懸念は続いています：

http://countermeasures.trendmicro.eu/whatsapp-in-violation-of-privacy-law/

Cristian Dobre · Answer

メディアによると、WhatsAppはかなり人気のあるメッセージングシステムです。

WhatsAppは2012年8月の時点で1日あたり100億のメッセージを処理します

Financial Times ：WhatsAppは、携帯電話でSMS Skypeが固定電話での国際通話に行ったことを実行しました。

暗号化をサポートし、多数のセキュリティインシデントがありますが、セキュリティは高く、上記と同様のインシデントは一時的なものであり、会社によって管理されることを期待しています。

メッセージが危険にさらされる可能性のある特別なケースが1つあります。これは、WhatsAppを使用している携帯電話またはコンピュータが雇用主によって管理されている場合です。したがって、雇用主から提供されたスマートフォンを使用している場合、メッセージmightが傍受される可能性があります。

結論として、Whatsappのメッセージプライバシーは信頼できると思います。携帯電話のセキュリティについてもっと心配する必要があります。 Androidスマートフォンは特にパッチで最新に保たれていません。

Vivo · Answer

モバイルデバイスで次のテストを実行すると、少なくともデバイスがそのように監視されないことが確認できます。

https://www.google.com に移動します
ブラウザのhttpsロックをクリックします

Example Screenshot

発行先がGoogle Internet Authority G2の場合、httpsは侵入されないまたはMITMA（Man In the Middle Attack）を採用。会社名のような別の名前がある場合は、httpsトラフィックに侵入できる可能性があります。