パスワードを忘れた? アカウント作成
11965296 story
セキュリティ

LINEに深刻な脆弱性、現在は修正済み 41

ストーリー by hylom
JavaSciprtの恐怖 部門より
あるAnonymous Coward 曰く、

メッセージングアプリ「LINE」に脆弱性が発見された模様。これを悪用すると、第三者が「トーク内容・友達一覧などのデータ」が取得・改ざんされる可能性があるという。すでに修正が行われており、3月4日(iOS版)および3月10日(Android版)に対応されたバージョンがリリースされている(LINE公式ブログ)。

詳細については公開されていないが、「悪意のある第三者が中間者攻撃(man-in-the-middle attack)を目的に設置した無線LAN回線(Wi-Fi)に任意で接続した場合」に問題が発生する可能性があるとのこと。この問題を発見したというスプラウトのニュース記事によると、LINEアプリ内で不正なJavaScriptコードが実行される可能性があり、これによってLINE内の多岐にわたる情報を取得・操作できてしまう模様。「友だち申請」の際の「名前」に不正なコードを埋め込めるとのことで、中間者攻撃によるスクリプトインジェクションに対し脆弱だったという話のようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年03月17日 12時28分 (#2779031)

    端からLINEに安全性は無いと思って使ってるのでこの程度なら想定の範囲内です

    • LINE運営体制が脆弱性というか、見られてるんでしょ!
      親コメント
    • by Anonymous Coward

      LINEとか「素の」インターネットメールとかそんなもので機密情報・重要情報はやりとりできないって常識の範囲ですよね。

      LINEなんてアホの子が使うものだと思っていたら、自分の子供までが使いたいとか言い出して、気に入らないサービスNo.1かも知れませんが、修正された脆弱性まで取り上げて叩く必要はないと思います。

    • by Anonymous Coward

      旧KCIAが全傍受してるという話がありましたがもうそれでもいいやって事なんですかね

    • by Anonymous Coward

      LINEアンチ多いなw 韓国企業だからっていうのが大きそうだが。

      自分も好きなサービスではないし、最初にアドレス帳強奪していったので最初から終わってた感じだが。
      まぁそれでもまわりはLINEばかりなので仕方なく使わないといけない残念な状況だな。

      喜ばしいことに、最近ではスノーデン暴露などで暗号化メールが盛り上げってきてて、
      End-To-Endの暗号化メッセンジャーも出てきてるし、Off-The-Record(たとえ秘密鍵を盗まれても過去のメッセージは復元できない)での実装してるものもある。
      そういうのが広まってくれるとありがたいんだけど、まぁ一般層には受け入れられないだろうなぁ。

      このあたりがオススメ
      https://whispersystems.org/ [whispersystems.org]
      オープンソースだしね。

      • by Anonymous Coward

        >最初にアドレス帳強奪していったので最初から終わってた感じ

        言ってんじゃんw
        アドレス帳まさぐって自前で付き合わせるアプリはクソ。

        GoogleコンタクトもSkypeも同様にクソだが、
        召し上げの有無を確認してバッサリやれるから、砂糖をまぶしたクソ。

  • うちの親とか (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2015年03月17日 12時10分 (#2779017)

    アプリの更新とか完全拒否(見た目変わったりPW再入力で烈火の如くヒスる)し
    通知領域とか基本放置で酷いことになってる。そんなLINEユーザは多いかと。

    修正済みとは言うが、こういうユーザをターゲットに商売する以上
    ちゃんとフォローする必要があるのではなかろうか。

    • by Anonymous Coward

      ログインしなければいけないシステムなんだから、
      ログイン時および接続ステータスアップデート時にクライアントバージョンを認証サーバに渡すようにして、
      セキュリティ問題が発生しているバージョン以下のクライアントは強制的にログアウトさせて
      クライアントバージョンアップを行わなければログイン出来ないようにすればよい。
      LINEは使ってないから、上記のようになっているかどうかは知らない。

      • by Anonymous Coward

        >クライアントバージョンアップを行わなければログイン出来ないようにすればよい。

        「何もしていないのに、突然使えなくなった!」
        とサポート(の家族)がパンクします。

    • by Anonymous Coward

      > 通知領域とか基本放置で酷いことに
      通知止めろよ。

      • by Anonymous Coward

        止めるっていう発想がないんですわ

        • by Anonymous Coward

          つまり必要なフォローというのは「教育と心のケア」?

    • by Anonymous Coward

      アップデートの通知はいいけど更新は自己責任でいいやん。勝手にアップデートされて重くなったり使いにくくなったりするのはいやだ。

    • by Anonymous Coward

      私もそう思う、決済機能うんぬんという計画もあるようだし、その辺りを含めてちゃんとフォローして行けるか否かが、LINEみたいなサービスが今後も生き残れるかあるいは成長できるかの分かれ目だと思う。

      今の日本でスマホを使っている人の半分以上は実際のところ全然スマートじゃない人で、色々な前提とか計算とかが解からない人達だからこそ収入に不釣合いな費用を払いながらスマホを使っている。

      そんな人達だから、ちょっとしたメッセージの共有にもメーリングリストとか想像もできなくてLINEを使う。そもそも、SMSやらMMSやらインターネットメールやら等々の区別なんて出来ないし、システムごとキャリアごと端末機種ごとの操作の違いを克服できないから、皆が使っていて教えてもらえるLINEしか使えない。

      そもそもそんな人達にまでスマホという複雑な機械を売りつけたキャリアが悪いのだけれど、キャリアは今の処責任を取らないから、こういう商機がある。

      • by Anonymous Coward

        >そもそもそんな人達にまでスマホという複雑な機械を売りつけたキャリアが悪い
        ウォータープルーフ、UVプルーフ…
        様々なプルーフはあれど、フールプルーフだけは作れないのが物作りというもの

        それでも馬鹿が「欲しい」というなら売らざるを得ない
        「馬鹿は使うな売ってやらん」なんて堂々と言えるのは技術だけ見ていればいい人か
        無責任な人だけだよ

        • by Anonymous Coward

          自動アップデート承認しないと使えないように規約で縛っとけ。

        • by Anonymous Coward

          歪んだ販売報奨金制度で馬鹿にも買える値段にしたとか、
          分割払いという借金を馬鹿に背負わせるとかで、
          単純な機能の安価で馬鹿にも使い易い端末があるのに、
          複雑で難解で高価なスマホを馬鹿に売りつけて、
          シェアを拡大しようとするキャリアの売り方が問題。

          販売報奨金や各種の縛りを無くすと、simフリー端末のような価格になる。
          馬鹿でも10万円の買い物なら少しは慎重になる。

          困窮母子家庭の子が月々高い維持費を払いながらLINEをするなんて無理になる。
          でも大丈夫、無理な人の方が多ければLINEなんて流行らない。
          そもそも中学生が月々何千円も払って緊急対応の手段を維持するなんて馬鹿げてる。

          10万円の本体価格と、月々8千円のスマホと、
          3万円の本体価格と、月々2千円のガラケーと並べて、
          それでもスマホが欲しい人には売ればいい。

          馬鹿を騙すようなやり方で稼ごうというのは、その業界で国を代表するような
          大企業のやることじゃない。目先の儲けだけ見ている無責任な人のすることだ。

          • by Anonymous Coward

            > 大企業のやることじゃない。
            誤解されてはいけないのでので、補足しておく。

            影響力の大きな処が、目先の利益でシステムに悪影響を与えると、システム自体が歪んだり壊れたりする。
            そしてそのシステムの中での自分の商売に大きな悪影響が生じてしまう。

            スマホが普及する前に、歪んだ販売報奨金が日本の携帯電話端末市場を歪なものにし、その市場に適応した
            日本の電機メーカーは、最先端の端末を作っていたのに、いつのまにやら国際競争力を失った。
            それに伴って、例えば i-mode のような技術でドコモが世界市場を押さえるといった夢も潰えた。

            ドコモの海外投資が失敗続きなのも、経営者達が歪んだ国内市場しか知らないからだろう。

            長期的な繁栄を望むなら、馬鹿を騙すような商売は止めるべきだ。

            • by Anonymous Coward

              そんなことしてたら短期的な収益を求めて焼畑農業よろしくがっつり貧乏人からも満遍なく吸い取ろうとする会社に負けますね。
              法律に抵触するかギリギリのところまで踏み込んで稼ぐのが今のトレンドでございます。

        • by Anonymous Coward

          まあオフトピなんだけど。
          「承認内容によってOKボタンの位置をずらして、連打した時に複数の承認が走って勝手に課金されないようにする」とか
          「~してもよろしいですか? OK/キャンセル」とか「」とかもフールプルーフの一環ですね。
          「フールプルーフだけは作れない」というか「ちょっとやそっとのフールプルーフじゃ”一般人のレベル”には足りてない」のが真実というか。

          #スマホの類いの「音が鳴る状況じゃないとその音量調節ができない」って仕組みはバカ対策が足りないと思う。
          #アプリがちゃんと対策していればいいけど、モノによってはアプリ起動直後は呼び出し音側の音量調節しかできず、効果音を鳴らさないと効果音の音量調節ができないってバカ設定になってる。
          #誰だ電話のベルとアプリの効果音の音量調節を別モードにしやがった奴は!音量ボタン直結のマスターボリューム+アプリ内音量調節でいいじゃろがい!

        • by Anonymous Coward

          最後の一文は違いますね。お馬鹿なユーザーが使ったときに、その(馬鹿さによって生じたアクシデントの)責任をとても背負いきれないことが明らかであるから、売らないと言っているだけで。それはむしろ有限の範囲内で背負える責任は背負うという覚悟の現れでしょうに。
          むしろ無責任なのは、責任や後始末なんて全く考えていないのに、そういうお馬鹿なユーザーにも売ってしまう人たちです。

    • by Anonymous Coward

      只のWebViewアプリだとこういう時には強いよね。
      の割にはWebViewアプリのくせにやたら更新要求してくる奴らも居るんだけど。
      あれか。スパイウェア的な部分は更新ないとダメだからかな。

  • by Anonymous Coward on 2015年03月17日 12時09分 (#2779016)

    まずそこにビックリ。

  • このタイムラグはなんなんだ、と勘ぐってしまうし、脆弱性を発表したのは公式ブログだけで、LINEアプリ上の「お知らせ」には何も記載されていない。
    App Storeにおいては、対応バージョンについては「バグ修正など」としか記載がされていなかった。

    >■利用者の皆様へのお願い
    >今回ご報告を受けた部分については既に修正が完了していますが、お客様のスマートフォンを安全な状態でご利用いただくためにも、日頃から以下のことに注意してください。

    という注意喚起について、本当に注意してもらわないといけない人には行き渡らせたくないのではないか。

    • by Anonymous Coward

      本当に注意して見てもらわないといけない人は注意書きなんて読みません。

  • by Anonymous Coward on 2015年03月17日 22時04分 (#2779432)

    LINEを使用し続けているという行為が脆弱性

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...