安全なチャットアプリTeleGuardの暗号化が「無意味」なほど脆弱
TeleGuardは「完全なエンドツーエンド暗号化」を謳うチャットアプリだが、セキュリティ研究者により、ユーザーの秘密鍵をサーバーに送信しハードコードされた値を使用する設計上の欠陥により、攻撃者が容易に鍵を抽出・復号可能であることが明らかにされた。
キーポイント
秘密鍵のサーバー送信と復号可能性
ユーザー登録時に暗号化された秘密鍵を会社サーバーにアップロードする設計となっており、TeleGuard自体がユーザーのメッセージを復号・傍受できる状態にある。
ハードコードされた暗号パラメータの脆弱性
ソルトとノンスが固定値で実装されているため、暗号学的なランダム性が失われ、攻撃者がAPI経由でユーザーIDから秘密鍵を容易に導出可能である。
公開IDを用いたAPI攻撃の現実化
ユーザーが公開しているIDをTeleGuardのAPIに投入するだけで特定ユーザーの秘密鍵を取得できるため、多くのユーザーが攻撃対象となるリスクがある。
暗号化通信市場の「無法地帯」状態
「安全」と謳うアプリの実装が軽視されている現状を示し、セキュリティとマーケティングの乖離が業界全体の課題であることを浮き彫りにしている。
暗号化の根本的な欠陥
プライベートキーがサーバーにアップロードされるため復号可能であり、専門家から暗号化は「意味をなさない」と評価されている。
メタデータの平文送信
メッセージの送受信者や時刻などのメタデータが平文で処理されており、攻撃者に容易に暴露されるリスクがある。
違法行為との関連と法執行によるデータ取得
アプリは成人モデルや児童ポルノ関係者に利用されており、プッシュ通知を通じて法執行機関がユーザーデータを取得した事例が報告されている。
影響分析・編集コメントを表示
影響分析
この事件は、セキュリティを謳うアプリの市場信頼性を揺るがすものであり、ユーザーが「安全」と信じているデータが実際にはサーバー側で容易に復号可能な状態にある可能性を示している。開発者および監査機関には、暗号化プロトコルの透明性と第三者検証の重要性が再認識され、プライバシー関連規制や業界標準の見直しにつながる可能性がある。
編集コメント
暗号化の「謳い文句」と「実装」の乖離は、セキュリティリテラシー向上の重要な教材となる。ユーザーは「暗号化済み」というラベルだけでなく、鍵管理のアーキテクチャを問う姿勢が不可欠である。
image100万回以上ダウンロードされ、安全なエンドツーエンド暗号化メッセージングプラットフォームを標榜するアプリ「TeleGuard」は、暗号化の実装が極めて不備で、攻撃者が簡単にユーザーの秘密鍵にアクセスしメッセージを復号できてしまうと、複数のセキュリティ研究者が404 Mediaに明かした。研究者らはさらに、TeleGuardがユーザーの秘密鍵を自社サーバーにアップロードしている事実も発見した。これはTeleGuard自体がユーザーのメッセージを復号できることを意味し、また、単にユーザーの通信を傍受するだけで、少なくとも部分的に鍵を導出できる可能性もあるという。
このニュースは、暗号化メッセージングアプリ市場が「無法地帯」と化している現状を浮き彫りにしており、アプリによって安全性に雲泥の差があることを示している。
TeleGuardのウェブサイトには「データを保存しない。高度な暗号化。スイス製」と記載されている。「チャット、音声通話、ビデオ通話はすべてエンドツーエンド暗号化されています」とも謳っている。
このアプリやその他のセキュリティ問題について情報をお持ちですか?ぜひお聞かせください。仕事用以外の端末から、Signal(joseph.404)で安全にメッセージを送るか、joseph@404media.co までメールをお送りください。
3月、匿名のセキュリティ研究者が404 Mediaに、TeleGuardの一連の脆弱性について連絡してきた。その中には、TeleGuardアプリがアカウント登録時にユーザーの秘密鍵を自社サーバーにアップロードするという事実が含まれていた。
暗号化メッセージングを実装する際、アプリは通常、ユーザーに公開鍵と秘密鍵を割り当てる。公開鍵は他のユーザーがメッセージを暗号化するために使い、秘密鍵は自分宛てのメッセージを復号するために使う。この秘密鍵が他人の手に渡れば、ユーザーのメッセージを読まれる可能性がある。
真のエンドツーエンド暗号化では、暗号化はユーザーの端末上で行われ、秘密鍵が端末から流出することはない。しかしTeleGuardでは、この極めて機密性の高い秘密鍵がアプリによって自社サーバーに送信されている。技術的には、アプリは秘密鍵を暗号化したバージョンをアップロードしているが、サーバーがそれを復号できるようにする他の情報も同時に送信していると、研究者は説明する。それには、鍵と共にアップロードされるユーザー固有のID、ハードコードされたソルト(暗号学ではランダムな文字列であるべきだが、ここでは固定値)、ハードコードされたナンス(特定の攻撃を防ぐため通信ごとにランダムであるべきだが、TeleGuardでは固定)が含まれる。「サーバーは全ユーザーの秘密鍵を復号できます。必要なものは全て揃っている」と、研究者は404 Mediaと共有した調査結果に記している。
この一連の設計上の判断により、TeleGuard社はユーザーの秘密鍵を入手できる。しかし、その鍵は他の攻撃者もアクセス可能だ。研究者は、特定ユーザーのユーザーIDをTeleGuardのAPIに送信するだけで、そのユーザーの秘密鍵を取得できることを発見した。多くのユーザーは連絡を受け取れるよう自身のユーザーIDを公開しており、この攻撃に晒されやすい状態にある。
404 Mediaは、サイバーセキュリティ企業Trail of BitsのCEO兼共同創業者ダン・ギドに、同社チームがこの調査結果を検証できたかどうか尋ねた。ギドは、同社もほぼ同様の事実を確認し、アプリが秘密鍵をアップロードしサーバーが復号できる点を挙げ、TeleGuardの暗号化は「無意味」だと付け加えた。
Trail of Bitsはその後、TeleGuardの他の複数のセキュリティ問題を発見した。その中には、単にユーザーの通信を傍受するだけで、少なくとも部分的にユーザーの秘密鍵を抽出できるという問題も含まれていた。同社は、その傍受データから不十分に暗号化された秘密鍵の一つを実際に復号することに成功したと述べている。
ギドは404 Mediaに次のミーム画像を送ってきた:
image画像:Trail of Bits提供のミーム。
最初に連絡を取った研究者はまた、TeleGuardのメタデータ(メッセージの送信時刻と送信先)が平文で扱われているとも指摘した。これにより、その情報も攻撃者に晒される危険性がある。
Wayback Machineに保存されたアプリページの記録によると、TeleGuardは2021年頃にサービスを開始した。開発元はSwisscowsで、同社は匿名検索エンジン、VPN、メールサービスも提供していると自称する。プロモーション動画でTeleGuardは、「利用可能な最強クラスの暗号化」を採用していると主張している。
TeleGuardおよびSwisscowsは、複数回にわたるコメント請求に応じず、問題を修正する見込みや時期についても何ら示唆を与えていない。
カムモデル向けのサブレディットの投稿によれば、TeleGuardはカムモデル間の連絡手段として推奨されてきた。また、このアプリは児童虐待者との関連が繰り返し報じられており、ある地方メディアは、児童性的虐待物資(CSAM)事件で検察官の間でTeleGuardが「悪名高い」と報じている。FBIは以前、TeleGuardユーザーの携帯電話に送られたプッシュ通知に関するデータを取得したことがある。ワシントン・ポスト紙によれば、外国の法執行機関がTeleGuardからプッシュ通知関連データの提供を受け、FBIがそれをGoogleに持ち込んで、その児童性犯罪の被疑者に関連するメールアドレスを取得したという。
原文を表示
imageTeleGuard, an app that markets itself as a secure, end-to-end encrypted messaging platform which has been downloaded more than a million times, implements its encryption so poorly that an attacker can trivially access a user’s private key and decrypt their messages, multiple security researchers told 404 Media. TeleGuard also uploads users’ private keys to a company server, meaning TeleGuard itself could decrypt its users’ messages, and the key can also at least partially be derived from simply intercepting a user’s traffic, the researchers found.
The news highlights something of the wild west of encrypted messaging apps, where not all are created equal.
“No storage of data. Highly encrypted. Swiss made,” the website for TeleGuard reads. The site also says, “The chats as well as voice and video calls are end-to-end encrypted.”
Do you know anything else about this app or other security issues? I would love to hear from you. Using a non-work device, you can message me securely on Signal at joseph.404 or send me an email at joseph@404media.co.
In March an anonymous security researcher, who didn’t provide their name, told 404 Media about a series of vulnerabilities in TeleGuard. They included the fact the TeleGuard app uploads users’ private encryption keys to the company’s server upon account registration.
Often when implementing encrypted messages, apps will assign users a public and private key. The public key is what other users use to encrypt messages for them, and the private key is what a user uses to decrypt messages meant for them. If this key falls into someone else’s hands, they may be able to read a users’ messages.
In true end-to-end encryption, this encryption happens on a user’s phone, and the key should never leave that device. With TeleGuard, the app is transmitting that highly sensitive key to the company’s servers. Technically, the app uploads an encrypted version of the private key, but it also transmits other information that allows the server to decrypt it, the researcher explained. That includes the user’s unique ID, which is also uploaded along with the key; a hardcoded salt (which in cryptography is supposed to be a random string of characters, but in this case is constant); and a hardcoded nonce (which is also supposed to be random for every communication to stop certain attacks, but is constant with TeleGuard). “The server can decrypt every user's private key. It has everything,” the researcher wrote in their findings shared with 404 Media.
That series of design decisions means TeleGuard, the company, receives users’ private keys. But the keys are also accessible to other attackers. The researcher found it’s possible to retrieve a specific user’s private key by simply plugging their user ID into TeleGuard’s API. Many people share their user ID publicly so they can be contacted, opening them up to this attack.
404 Media asked Dan Guido, CEO and co-founder of cybersecurity firm Trail of Bits, whether his team was able to verify the findings. Guido said the company found much the same thing, and added the app’s encryption “is meaningless,” because of the app uploading the private keys and the server’s ability to decrypt them.
Trail of Bits then found multiple other security issues with TeleGuard, including being able to at least partially extract users’ private keys from simply intercepting their traffic. Trail of Bits said it then successfully decrypted one of the shoddily encrypted private keys from that capture.
Guido sent 404 Media this meme:
imageImage: meme via Trail of Bits.The researcher who initially reached out also said TeleGuard’s metadata—when someone sent a message, and to whom—is in plaintext, meaning that could be exposed to attackers too.
TeleGuard launched in around 2021, according to archives of the app’s page on the Wayback Machine. It is made by Swisscows, a company that also makes what it describes as an anonymous search engine, a VPN, and an email service. In a promotional video, TeleGuard claims to have “one of the strongest encryptions available.”
Neither TeleGuard nor Swisscows responded to multiple requests for comment, nor gave any indication or timeline of when they might fix the issues.
TeleGuard has been recommended to cam models as a way to communicate, according to a post on a subreddit for models. The app has also repeatedly been linked to child abusers, with one local media outlet reporting TeleGuard is “notorious” among prosecutors for child sexual abuse material. The FBI previously obtained data about a TeleGuard user through push notifications sent to their phone. A foreign law enforcement agency had TeleGuard hand over push notification-related data, which the FBI then took to Google to obtain email addresses linked to that alleged pedophile, The Washington Post reported.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み