JVNは8月7日、NHN JapanがAndroid端末向けに提供している「LINE」アプリに、暗黙的Intentの扱いに関する脆弱性が見つかったと発表した。影響を受けるシステムは、Android版LINE「2.5.4」およびそれ以前。
脆弱性分析結果は、上記の画像の通り。JVNは分析結果のコメントとして、「当該製品が持っている情報の取得を目的として作成されたアプリケーションを、ユーザが自らインストールすることを想定しています」と発表した。
JVNは想定される影響として、「LINE で送信したメッセージ情報が、不正なAndroidアプリケーション経由で第三者に漏えいする可能性があります」と伝えている。
NHN Japanは「指摘の内容は、Android端末のユーザーが、ある特殊な悪性アプリを自分のAndroid端末にインストールした状態でLINEアプリを利用すると、LINEで使われている一部の情報を、その悪性アプリケーションにより読み込まれる可能性があるというものです」とLINE公式ブログで伝えている。
JVNは対策方法について、「開発者によると、当該製品は、製品使用時にシステム側で自動的にアップデートが適用されるため、ユーザによる手動アップデートは必要ないとのことです」と伝えている。
NHN Japanによると、JPCERTコーディネーションセンター(JPCERT/CC)より、2012年7月24日にAndroid版LINEの脆弱性について指摘を受け、2012年7月30日に指摘のあった脆弱性に対応したバージョン2.5.5をリリースしたとのこと。
現状は、強制アップデートにより全Android版LINEアプリを自動的にバージョン「2.5.5」にアップデート済みだという。この脆弱性による実際の情報漏えいは確認されていない。
LINE公式ブログでは、よくある質問を下記のように記載している。
FAQ(よくある質問)
Q.「ある特殊な悪性アプリ」とは具体的にどのようなアプリを指すのか?
A. 脆弱性を利用して、LINE アプリ内で利用されている情報を不正に取得するアプリが該当します。ただし、現時点においてそのようなアプリケーションは確認されておりません。Q.「一部の情報」とは具体的に何を指すのか?
A. 送信時のメッセージ情報が悪性アプリケーションによって読み込まれる可能性がありました。
なお、電話番号などの個人情報は含まれておりません。Q.今回の問題が発生した原因は何か?
A.プログラム設計上の問題です。これまでもセキュリティ部分への対応については厳格に行っておりましたが、今後はこれまで以上にチェック体制を整備し、より厳格に対応してまいります。
LINE公式ブログより引用
Android版のLINEは、昨日に大幅なアップデートがあり、新機能「ホーム」と「タイムライン」が追加された。現在のアプリのバージョンは「3.0.2」なので、もちろん対処済み。