LINEのQRコードログインに脆弱性が見つかる。556件の被害が確認 23
ストーリー by nagazou
脆弱性 部門より
脆弱性 部門より
LINEは10日、QRコードログインにおける2要素認証に脆弱性が存在しており、それにより不正ログインが発生していたと発表した。脆弱性に関してはすでに修正済みとのこと。QRコードを用いたログイン時に、PINコードを用いた2要素認証に脆弱性が存在したという。脆弱性により、本来実行されるべきPINコード確認の処理が省略され、不正ログインが行われる状況にあったとしている(LINEリリース、窓の杜)。
不正ログインの手法に関しては、LINEのリリースに詳しいのでそちらを見ていただきたい。発表によると被害ユーザー数は556件で、日本ユーザーの被害は確認されていないという。詳細に関してはタイで11、インドネシアで466、その他で79だったとのこと。影響期間は2019年11月25日〜2021年7月9日だったとしている。
goldenslamber 曰く、
不正ログインの手法に関しては、LINEのリリースに詳しいのでそちらを見ていただきたい。発表によると被害ユーザー数は556件で、日本ユーザーの被害は確認されていないという。詳細に関してはタイで11、インドネシアで466、その他で79だったとのこと。影響期間は2019年11月25日〜2021年7月9日だったとしている。
goldenslamber 曰く、
なおLINEからの声明は以下の通り。
「本件の攻撃内容を踏まえ、フィッシングおよびソーシャルハッキングなどの悪用による非技術的な残存リスクの確認をより一層強化する」
非技術的な残存リスクとは何を指すのだろう。
認証用URLのコピペ、か (スコア:2)
> ・攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、Windows/Mac OS/iPad/Google Chrome版「LINE」にログインするためのQRコードのURLを、被害者に共有する。
> ・被害者が、上記URLをクリックすることにより、QRコードログインを完了するための画面に不正に誘導され、被害者が騙されて「ログイン」を押してしまう事で、攻撃者のデバイスにて不正ログインが成功する。この際、本来であれば、PINコードを用いた2要素認証が求められるところ、脆弱性によって本来実行されるべきPINコード確認の処理が省略された。
QRコードを認証済みスマホで認識させれば、攻撃者のパソコン版LINEの認証が終わるみたいな感じか
なんか親のサポートとかする分には便利そうな脆弱性だな
っつーかつい先日Windows版LINEの画面に出たQRコード+娘の認証済みスマホでログインしたな
これにPIN増えるってことなのか
# ログイン処理したのは娘だからもうあったのかもしれんけど
フツーにやってりゃだるいだけやな…
Re:認証用URLのコピペ、か (スコア:2)
しかしこれ直したらPINコードどこで入れるん?
スマホで入れるんならURL押してそのままログイン押しちゃう人にはあんま意味なさそう
スマホでログインした画面に出るものをパソコン版LINEに入れる、とかだとPINコードではない気がする
Re:認証用URLのコピペ、か (スコア:2)
つい先日親のPCにLINEを入れたときはスマホにPINが来た気がする
Re:認証用URLのコピペ、か (スコア:2)
ちゃう ショートメールで来た認証番号をPCに入力だった
Re:認証用URLのコピペ、か (スコア:2)
なるほど、ショートメールですか
電番認証ですね
しかし結局それってPINって呼ぶもん
なんですかね
PINの定義ってなんなんだろう
適当にググるとネットワークに流れない暗証番号、とか
SMSならインタネットには流れないからPINと呼べるんかなぁ
Re:認証用URLのコピペ、か (スコア:1)
>PINの定義ってなんなんだろう
>適当にググるとネットワークに流れない暗証番号、とか
>SMSならインタネットには流れないからPINと呼べるんかなぁ
ネット経由loginでPINを求めるサイトはたまにありますね。
一度「PINって何ですか?」とサポートに聞いたら「暗証番号です」と言われた。
そこも二段階認証になって、SMSで流されてくる数字を入れる形式に変更されてた。
非技術的な残存リスク (スコア:1)
運営会社による虚偽の説明とかでしょうか、運営会社自体のリスク。
LINE、日本政府に「虚偽説明」…データの保管場所、実際は「韓国サーバー」=韓国報道
https://news.yahoo.co.jp/articles/48ee7228884aa5d217131afb073c30263458848a [yahoo.co.jp]
Re: (スコア:0)
これ日本人や消費者団体や利用組織はどこもLINEを訴えてない時点で、みんなやる気ないんですよ
アメリカならACLUやFCCが訴えてるでしょうに。
Re:非技術的な残存リスク (スコア:2, すばらしい洞察)
>これ日本人や消費者団体や利用組織はどこもLINEを訴えてない時点で、みんなやる気ないんですよ
その「日本人~みんな」はLINEを使うような人達ですよね。
その人達はそんなリスクは全く気にならないか何も知らないので問題は有りません。
この件でLINEを訴えるような層はそもそも使っていない (スコア:0)
ソースは俺
Re: (スコア:0)
ネトウヨの方々ですらLINEは黙して愛用してるからね。
シェア握ってしまえば日本ほど楽な市場はないのかも。
Re: (スコア:0)
使ってないぞ
Re: (スコア:0)
ですよねwwww
ウヨクを気取りながらラチョンアカウント持ってるんだもんな
ちゃんちゃらおかしいよなw
LINEはリスク (スコア:1)
Oracleみたいなもん
>非技術的な残存リスクとは何を指すのだろう。 (スコア:0)
>フィッシングおよびソーシャルハッキングなどの悪用
同じ文中にあるこれでしょ?
PINが生年だとか、攻殻機動隊が好きだから2501だとか、もしくは「LINEです、パスワード教えてね、二段階認証も承認してけろりん」みたいなやつ。
Re: (スコア:0)
これを非技術的と言ってるのであれば、セキュリティを完全に舐めきってる企業姿勢なんだろうね。
「残存リスクの確認」って修正するとは言ってない所がなんとも救い難い。
Re: (スコア:0)
この例では「QRコードのURLを取り出して使わせる」ようなことを指してるんじゃないかな
ソーシャルハッキングの一種な気がしないでもない
元Yahoo側の工作? (スコア:0)
と言いたくなるぐらいLINGサイドの不祥事が多すぎる。
対等合併してから不祥事をバンバンリークすることでLINEサイドの立場を落としているんjyないかと陰謀論を唱えたくなるぐらい。
※対等なはずなのにお詫び会見はLINE側しか出てこないしね
Re: (スコア:0)
yahoo以前にLINE出た当初から電話帳とかやらかしてるやん。
CSRFに対して「非技術的な残存リスク」ですか (スコア:0)
> 再発防止策:
> 従来より「LINE」の各機能リリース前に行うセキュリティ担当による脆弱性検査は実施しておりますが、本件事案で受けた攻撃内容を踏まえ、フィッシングおよびソーシャルハッキング※等の悪用による非技術的な残存リスクの確認を、より一層強化いたします。
「本件事案で受けた攻撃内容」がソーシャルハッキング、つまり被害者にも過失があるかのようなミスリードをさせる文章ですね。
本件は、CSRF脆弱性です。
> 攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、Windows/Mac OS/iPad/Google Chrome版「LINE」にログインするためのQRコードのURLを、被害者に共有する。
そもそも、攻撃者が、被害者がアクセスして簡単な操作をするだけでログインできるURLを取得できる時点で誤り。
少なくとも、URLにワンタイムなCSRFトークンを加えるべきでした(尤もURLは原則公開情報なのでそれが完璧な対策ではないですが利便性を優占する場合にはやむを得ない場合もあります)。
LINEはあまり使いたくない (スコア:0)
Bot経由で使えるならと考えてたが、以下を読んで脱力した。
Messaging APIリファレンス
https://developers.line.biz/ja/reference/messaging-api/#get-content [line.biz]
コンテンツを取得する
ユーザーが送信した画像、動画、音声、およびファイルを取得するAPIです。
テキストは取得できません
ユーザーが送信したテキストを取得するAPIはありません。
Re: (スコア:0)
住処へ帰ってくれよ…