2019年12月24日 12時01分 セキュリティ

人気チャットアプリが実は政府の監視ツールだったことが判明、スパイツールとしては「天才的」と専門家

by stokkete



Google PlayやApp Storeから配信されていた世界的チャットアプリ「ToTok」が、実はアラブ首長国連邦(UAE)の政府によるスパイツールだったとニューヨーク・タイムズが報じています。ToTokは現地の駐在員が母国の家族と連絡を取るのに利用していたとのことですが、アプリをインストールすると、政府がユーザーの位置情報を認識できるようになるほか、アドレス帳や写真データを自由に閲覧できるようになっていました。



It Seemed Like a Popular Chat App. It’s Secretly a Spy Tool. - The New York Times

https://www.nytimes.com/2019/12/22/us/politics/totok-app-uae.html



Objective-See's Blog

https://objective-see.com/blog/blog_0x52.html



Popular chat app ToTok is actually a spying tool of UAE government – report | World news | The Guardian

https://www.theguardian.com/world/2019/dec/23/totok-popular-chat-app-spying-tool-uae-government





ToTokは無料・無制限で使える音声＆動画チャットアプリで、Google PlayやApp Storeからインストール可能となっていました。公式サイトによると、ToTokは中東・北アフリカ地域で最もインストールされたアプリであり、世界的に見ても急成長しているアプリの1つとされています。



しかし、ニューヨーク・タイムズの報じたところによると、ToTokはただのチャットアプリではなく、UAEのスパイツールだったとのこと。政府はToTokを通じてユーザーの会話・位置情報・アプリをインストールした人の画像データなどを収集していたと伝えられています。





UAEは長年にわたってAppleのFaceTimeやFacebookのWhatsAppといった通話アプリの利用を禁止してきました。このため、駐在員が母国の家族などに電話をかける際には、無料通話アプリとしてToTokがオススメされてきました。



これまでUAEは人権活動家などを標的にゼロデイ攻撃を行っていると疑われてきましたが、ゼロデイ攻撃はコストが非常に高くつきます。一方でToTokであれば何百万という人々が喜んでインストールするため、政府はコストをかけず、こっそりとユーザーの個人情報にアクセスすることが可能になります。



他の多くのアプリと同様にToTokは位置情報へのアクセスを求めますが、形式上は「正確な天気予報を提供するため」としています。また、ToTokは「友人とつながるのを助けるために」アドレス帳へのアクセスを要求するほか、マイク・カメラ・カレンダーといったデータへのアクセスも要求します。



セキュリティ研究者のPatrick Wardle氏によると、ToTokはエクスプロイトも、バックドアも、マルウェアも使わずに、一般的な機能だけでユーザーの個人情報を入手しており、通信アプリとして主張通りのことを実行しているにすぎず、スパイツールとしては「天才的」だといいます。



by NomadSoul1



ニューヨーク・タイムズの取材に対しToTokは返答していないとのことですが、12月23日付で「今日出回っているToTokのうわさについて」という形で、公式サイトで意見を表明しています。この中でToTokは「私たちのゴールは簡単に使えて信頼できるコミュニケーション・プラットフォームを作ることです」「アプリは高い水準のセキュリティを実装し、ユーザーデータを守っています」と述べています。



News - ToTok Messenger

https://totok.ai/news





また、記事作成時点でアプリはGoogle PlayやApp Storeから利用できないようになっていますが、「この2つのストアについては技術的な問題がありました。しかし、既存のToTokユーザーは引き続きサービスを楽しむことができます。私たちはGoogleやAppleと連携しており、この問題が解決次第お知らせします」とToTokは述べました。