LINEは、JPCERTコーディネーションセンターおよび情報処理推進機構(IPA)より「LINE」アプリの脆弱性の報告を受け、該当部分の修正をおこなったことを公表しました。
脆弱性の内容は、悪意のある第三者が設置した無線LAN(Wi-Fi)のアクセスポイントに接続したユーザーに対して中間者攻撃を仕掛けることにより、トーク内容や友だち一覧などのデータが取得・改竄される恐れがあるというものです。
たとえば、駅やカフェなどのWi-Fiに偽のアクセスポイントが設置され、そこへ接続したユーザーがLINEアプリ内のメッセージなどに記載されたURLにアクセスした場合、不正なプログラム・コード(JavaScript)を実行され、攻撃者がLINE内部のデータに自由にアクセスできる状態になってしまうといいます。また、攻撃者がターゲットとするユーザーに複数の「友だち申請」を行い、その「名前」に不正なプログラム・コードを埋め込む手法も可能だったとのこと。
IPAから2月3日に脆弱性の通知を受けたLINEは、脆弱性の一部についてサーバ側で対策をおこない、3月4日にiOS版、3月10日にAndroid版の最新版をリリースすることでアプリ側の対応が完了したとしています。
この脆弱性による被害は確認されていませんが、LINE内の全トーク履歴、写真、友だち・グループリスト、認証情報、プロファイル情報、位置情報など広範囲のデータが、危険な状態に晒されていたといえます(最新版に更新しなければ、依然として危険)。
LINEは対策として、LINEアプリを最新版に更新することを強く推奨し、知らないWi-Fiに不用意に接続しないことなどを呼びかけています。
SOURCE