LINEに非公開TLの漏洩など4件の脆弱性 - YouTubeへのデモ動画投稿で明らかに
SNSサービスの「LINE」において、非公開設定のタイムラインやグループノートが閲覧できる脆弱性のほか、なりすましによる投稿が可能となるなど、複数の脆弱性が含まれていたことがわかった。1件を除いて2月23日に修正を終えており、のこる脆弱性についても対応を進めているという。

公開された脆弱性のデモ動画(YouTube)
今回あきらかとなった脆弱性は4件。他端末からのログインを許可したあとに、ログアウトしても認証キーが削除されない問題が存在。また、友だち登録しているユーザーの認証キーと「りんな」など公式アカウントのIDを用いることで、非公開設定のタイムラインを閲覧することが可能だった。
さらに他人になりすましてタイムラインにコメントできる、メンバーになりすましてグループノートが自由に閲覧できるなど、認証不備の脆弱性が含まれていたという。
これら脆弱性を実際にデモンストレーションする動画が、2月22日にYouTubeで公開されたことから問題が発覚。発見者は、脆弱性情報をYouTubeで公開した理由についてWikipediaを引用し、過去にLINEにおいて脆弱性の指摘が正しく処理されなかったとの情報があり、総合的に判断したなどと述べている。
公開後に情報処理推進機構(IPA)へ報告を行ったことや、LINEからの返信メールのほか、脆弱性の修正、さらなる情報開示などを求める内容を自身のブログに投稿していた。
(Security NEXT - 2016/03/02 )
ツイート
PR
関連記事
「Apache Tomcat」に脆弱性 - 過去の修正が不完全で
Zyxel製機器の脆弱性、積極的な悪用も - あらたな脆弱性も判明
WP向け人気プラグイン「Jetpack」に深刻な脆弱性 - 早急に更新を
「OpenSSL」にアップデート - 複数の脆弱性を解消
アクセス制御ツール「Pomerium」に脆弱性 - アップデートを
「Barracuda ESG」脆弱性、修正の7カ月前に悪用の痕跡
エンカレッジ製のUNIX/Linux向け証跡記録ソフトに脆弱性
Google、「Chrome 114」をリリース - 複数の脆弱性を修正
「iTunes for Windows」に複数の脆弱性 - アップデートで修正
Barracuda製メールセキュリティ製品に脆弱性 - すでに悪用も