LINEに深刻な脆弱性、現在は修正済み 41
ストーリー by hylom
JavaSciprtの恐怖 部門より
JavaSciprtの恐怖 部門より
あるAnonymous Coward 曰く、
メッセージングアプリ「LINE」に脆弱性が発見された模様。これを悪用すると、第三者が「トーク内容・友達一覧などのデータ」が取得・改ざんされる可能性があるという。すでに修正が行われており、3月4日(iOS版)および3月10日(Android版)に対応されたバージョンがリリースされている(LINE公式ブログ)。
詳細については公開されていないが、「悪意のある第三者が中間者攻撃(man-in-the-middle attack)を目的に設置した無線LAN回線(Wi-Fi)に任意で接続した場合」に問題が発生する可能性があるとのこと。この問題を発見したというスプラウトのニュース記事によると、LINEアプリ内で不正なJavaScriptコードが実行される可能性があり、これによってLINE内の多岐にわたる情報を取得・操作できてしまう模様。「友だち申請」の際の「名前」に不正なコードを埋め込めるとのことで、中間者攻撃によるスクリプトインジェクションに対し脆弱だったという話のようだ。
「トーク内容・友達一覧などのデータ」が取得・改ざんされる (スコア:5, すばらしい洞察)
端からLINEに安全性は無いと思って使ってるのでこの程度なら想定の範囲内です
Re:「トーク内容・友達一覧などのデータ」が取得・改ざんされる (スコア:1)
Re:「トーク内容・友達一覧などのデータ」が取得・改ざんされる (スコア:1)
乗っ取りに遭っても対応遅いとかいうのは聞きますね。運営がこっちには責任無いからとか言って放置されるとか [biz-journal.jp]。だから運営が脆弱性なのはたしかかな。
そしてユーザーが脆弱性というのも世の習わし。
Re: (スコア:0)
LINEとか「素の」インターネットメールとかそんなもので機密情報・重要情報はやりとりできないって常識の範囲ですよね。
LINEなんてアホの子が使うものだと思っていたら、自分の子供までが使いたいとか言い出して、気に入らないサービスNo.1かも知れませんが、修正された脆弱性まで取り上げて叩く必要はないと思います。
Re: (スコア:0)
旧KCIAが全傍受してるという話がありましたがもうそれでもいいやって事なんですかね
Re: (スコア:0)
LINEアンチ多いなw 韓国企業だからっていうのが大きそうだが。
自分も好きなサービスではないし、最初にアドレス帳強奪していったので最初から終わってた感じだが。
まぁそれでもまわりはLINEばかりなので仕方なく使わないといけない残念な状況だな。
喜ばしいことに、最近ではスノーデン暴露などで暗号化メールが盛り上げってきてて、
End-To-Endの暗号化メッセンジャーも出てきてるし、Off-The-Record(たとえ秘密鍵を盗まれても過去のメッセージは復元できない)での実装してるものもある。
そういうのが広まってくれるとありがたいんだけど、まぁ一般層には受け入れられないだろうなぁ。
このあたりがオススメ
https://whispersystems.org/ [whispersystems.org]
オープンソースだしね。
Re: (スコア:0)
>最初にアドレス帳強奪していったので最初から終わってた感じ
言ってんじゃんw
アドレス帳まさぐって自前で付き合わせるアプリはクソ。
GoogleコンタクトもSkypeも同様にクソだが、
召し上げの有無を確認してバッサリやれるから、砂糖をまぶしたクソ。
うちの親とか (スコア:3, すばらしい洞察)
アプリの更新とか完全拒否(見た目変わったりPW再入力で烈火の如くヒスる)し
通知領域とか基本放置で酷いことになってる。そんなLINEユーザは多いかと。
修正済みとは言うが、こういうユーザをターゲットに商売する以上
ちゃんとフォローする必要があるのではなかろうか。
Re: (スコア:0)
ログインしなければいけないシステムなんだから、
ログイン時および接続ステータスアップデート時にクライアントバージョンを認証サーバに渡すようにして、
セキュリティ問題が発生しているバージョン以下のクライアントは強制的にログアウトさせて
クライアントバージョンアップを行わなければログイン出来ないようにすればよい。
LINEは使ってないから、上記のようになっているかどうかは知らない。
Re: (スコア:0)
>クライアントバージョンアップを行わなければログイン出来ないようにすればよい。
「何もしていないのに、突然使えなくなった!」
とサポート(の家族)がパンクします。
Re: (スコア:0)
ゲーム系のアプリだとアップデートしないと先に進まないとかザラにありますが…
Re:うちの親とか (スコア:1)
SNS:セキュリティホールの被害者はユーザー
Re: (スコア:0)
パズドラとかそうですよね。
Re: (スコア:0)
>クライアントバージョンアップを行わなければログイン出来ないようにすればよい。
って、そんなものが世の中に通用するとでも?
通用するしないの問題ではないです
Re: (スコア:0)
> 通知領域とか基本放置で酷いことに
通知止めろよ。
Re: (スコア:0)
止めるっていう発想がないんですわ
Re: (スコア:0)
つまり必要なフォローというのは「教育と心のケア」?
Re: (スコア:0)
アップデートの通知はいいけど更新は自己責任でいいやん。勝手にアップデートされて重くなったり使いにくくなったりするのはいやだ。
Re: (スコア:0)
私もそう思う、決済機能うんぬんという計画もあるようだし、その辺りを含めてちゃんとフォローして行けるか否かが、LINEみたいなサービスが今後も生き残れるかあるいは成長できるかの分かれ目だと思う。
今の日本でスマホを使っている人の半分以上は実際のところ全然スマートじゃない人で、色々な前提とか計算とかが解からない人達だからこそ収入に不釣合いな費用を払いながらスマホを使っている。
そんな人達だから、ちょっとしたメッセージの共有にもメーリングリストとか想像もできなくてLINEを使う。そもそも、SMSやらMMSやらインターネットメールやら等々の区別なんて出来ないし、システムごとキャリアごと端末機種ごとの操作の違いを克服できないから、皆が使っていて教えてもらえるLINEしか使えない。
そもそもそんな人達にまでスマホという複雑な機械を売りつけたキャリアが悪いのだけれど、キャリアは今の処責任を取らないから、こういう商機がある。
Re: (スコア:0)
>そもそもそんな人達にまでスマホという複雑な機械を売りつけたキャリアが悪い
ウォータープルーフ、UVプルーフ…
様々なプルーフはあれど、フールプルーフだけは作れないのが物作りというもの
それでも馬鹿が「欲しい」というなら売らざるを得ない
「馬鹿は使うな売ってやらん」なんて堂々と言えるのは技術だけ見ていればいい人か
無責任な人だけだよ
Re: (スコア:0)
自動アップデート承認しないと使えないように規約で縛っとけ。
Re: (スコア:0)
歪んだ販売報奨金制度で馬鹿にも買える値段にしたとか、
分割払いという借金を馬鹿に背負わせるとかで、
単純な機能の安価で馬鹿にも使い易い端末があるのに、
複雑で難解で高価なスマホを馬鹿に売りつけて、
シェアを拡大しようとするキャリアの売り方が問題。
販売報奨金や各種の縛りを無くすと、simフリー端末のような価格になる。
馬鹿でも10万円の買い物なら少しは慎重になる。
困窮母子家庭の子が月々高い維持費を払いながらLINEをするなんて無理になる。
でも大丈夫、無理な人の方が多ければLINEなんて流行らない。
そもそも中学生が月々何千円も払って緊急対応の手段を維持するなんて馬鹿げてる。
10万円の本体価格と、月々8千円のスマホと、
3万円の本体価格と、月々2千円のガラケーと並べて、
それでもスマホが欲しい人には売ればいい。
馬鹿を騙すようなやり方で稼ごうというのは、その業界で国を代表するような
大企業のやることじゃない。目先の儲けだけ見ている無責任な人のすることだ。
Re: (スコア:0)
> 大企業のやることじゃない。
誤解されてはいけないのでので、補足しておく。
影響力の大きな処が、目先の利益でシステムに悪影響を与えると、システム自体が歪んだり壊れたりする。
そしてそのシステムの中での自分の商売に大きな悪影響が生じてしまう。
スマホが普及する前に、歪んだ販売報奨金が日本の携帯電話端末市場を歪なものにし、その市場に適応した
日本の電機メーカーは、最先端の端末を作っていたのに、いつのまにやら国際競争力を失った。
それに伴って、例えば i-mode のような技術でドコモが世界市場を押さえるといった夢も潰えた。
ドコモの海外投資が失敗続きなのも、経営者達が歪んだ国内市場しか知らないからだろう。
長期的な繁栄を望むなら、馬鹿を騙すような商売は止めるべきだ。
Re: (スコア:0)
そんなことしてたら短期的な収益を求めて焼畑農業よろしくがっつり貧乏人からも満遍なく吸い取ろうとする会社に負けますね。
法律に抵触するかギリギリのところまで踏み込んで稼ぐのが今のトレンドでございます。
Re: (スコア:0)
まあオフトピなんだけど。
「承認内容によってOKボタンの位置をずらして、連打した時に複数の承認が走って勝手に課金されないようにする」とか
「~してもよろしいですか? OK/キャンセル」とか「」とかもフールプルーフの一環ですね。
「フールプルーフだけは作れない」というか「ちょっとやそっとのフールプルーフじゃ”一般人のレベル”には足りてない」のが真実というか。
#スマホの類いの「音が鳴る状況じゃないとその音量調節ができない」って仕組みはバカ対策が足りないと思う。
#アプリがちゃんと対策していればいいけど、モノによってはアプリ起動直後は呼び出し音側の音量調節しかできず、効果音を鳴らさないと効果音の音量調節ができないってバカ設定になってる。
#誰だ電話のベルとアプリの効果音の音量調節を別モードにしやがった奴は!音量ボタン直結のマスターボリューム+アプリ内音量調節でいいじゃろがい!
Re: (スコア:0)
最後の一文は違いますね。お馬鹿なユーザーが使ったときに、その(馬鹿さによって生じたアクシデントの)責任をとても背負いきれないことが明らかであるから、売らないと言っているだけで。それはむしろ有限の範囲内で背負える責任は背負うという覚悟の現れでしょうに。
むしろ無責任なのは、責任や後始末なんて全く考えていないのに、そういうお馬鹿なユーザーにも売ってしまう人たちです。
Re: (スコア:0)
只のWebViewアプリだとこういう時には強いよね。
の割にはWebViewアプリのくせにやたら更新要求してくる奴らも居るんだけど。
あれか。スパイウェア的な部分は更新ないとダメだからかな。
平文だったの。。。 (スコア:0)
まずそこにビックリ。
Re:平文だったの。。。 (スコア:2)
ちゃんと暗号化されていれば、中間者攻撃は成功しないでしょ。
今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、
アプリ動作用のスクリプトなどが平文で伝送されていて、中間者攻撃で改ざんしたJSコードをアプリ側に送り込むことができた、という問題でしょ。
たとえメッセージの伝送路を暗号化してても、端末上では復号されてメッセージが表示されてるんだから、そこを突かれたらどうしようもない。
Re:平文だったの。。。 (スコア:3, 参考になる)
ノー。
攻撃方法は複数あって、それがごちゃ混ぜになってる。
①罠入り無線LANアクセスポイントに接続された状態でスマホのブラウザを開くと、
LINEを勝手に起動させて情報を送信させるJavaScriptを実行する。
こちらは平文とか関係なく、ブラウザからLINEを起動させる部分の脆弱性。
②同様のJavaScriptを自分の名前に仕込んだ状態で、不特定多数のユーザへ友だち申請を送信し、
それを表示させたLINEアプリから情報を送信させる脆弱性。
これは仰るとおり暗号化していても発生する。
Re: (スコア:0)
ぶら下げる場所を間違えた。元コメント宛。
Re: (スコア:0)
あれ?てことは後者については友だち申請を受理する部分や名前設定周りを改修すればクライアント更新なくても対応できるっぽいね。
前者は…仕様を知らないのでわかんないけど。
Re: (スコア:0)
平文でないなら、オレオレ証明書でも受け付けていたかもしれない。
>今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、
これは、どの情報から?
Re:平文だったの。。。 (スコア:1)
> >今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、
> これは、どの情報から?
少なくとも2012年の段階でWi-Fi接続の時には暗号化している [srad.jp]のは確かですよ。
3月10日までに対応完了→3月16日に脆弱性について発表 (スコア:0)
このタイムラグはなんなんだ、と勘ぐってしまうし、脆弱性を発表したのは公式ブログだけで、LINEアプリ上の「お知らせ」には何も記載されていない。
App Storeにおいては、対応バージョンについては「バグ修正など」としか記載がされていなかった。
>■利用者の皆様へのお願い
>今回ご報告を受けた部分については既に修正が完了していますが、お客様のスマートフォンを安全な状態でご利用いただくためにも、日頃から以下のことに注意してください。
という注意喚起について、本当に注意してもらわないといけない人には行き渡らせたくないのではないか。
Re: (スコア:0)
本当に注意して見てもらわないといけない人は注意書きなんて読みません。
根本は (スコア:0)
LINEを使用し続けているという行為が脆弱性
Re: (スコア:0)
これには激しく同意