LINEのQRコードログインに2要素認証バイパスの脆弱性 - 悪用被害も

LINEは、コミュニケーションアプリ「LINE」のQRコードを用いたログインにおいて2要素認証を回避される脆弱性が存在したことを明らかにした。海外において脆弱性を悪用した不正ログインも発生していた。

同社によれば、「Windows版」「macOS版」「iPad版」「Chrome版」において、QRコードを用いたログインを行う際、本来求められるはずの2要素認証がバイパスされる脆弱性が存在したという。

攻撃者が、QRコードログインのURLを取得。被害者を同URLへアクセスさせ、ログインを完了させる画面に誘導して「ログイン」ボタンを押させることで、PINコード入力による2要素認証を脆弱性によってバイパスし、攻撃者のデバイスでログインを完了できる状態だった。

ログインされると、「トーク内容」「友だち」「グループ」「トークリスト」「タイムライン」「Keep」の保存コンテンツなどを閲覧されるおそれがある。

7月3日に同社のバグバウンティプログラムを通じて報告があり、脆弱性が判明した。脆弱性は2019年11月25日以降存在しており、修正した7月7日19時ごろまでに556件のユーザーにおいて脆弱性を利用したログインが行われていた。

（Security NEXT - 2021/09/13 ） ツイート

PR

関連記事

5月下旬以降、「PeopleSoft」にゼロデイ攻撃 - 対策と侵害有無の調査を
サイトが改ざん被害、外部へ誘導 - アイサンテクノロジー
ランサム被害が発生、一部サービスを停止 - システム開発会社
損害調査法人がランサム被害 - ファイル転送ツールの痕跡も
ファイル転送サーバに不正アクセス、個人情報流出か - 沖縄総合事務局
カーインテリア通販サイトに不正アクセス - 個人情報流出の可能性
ビデオ会議ツール「TrueConf」にゼロデイ攻撃 - アップデート機能に脆弱性
ネットワーク機器経由で侵入、脆弱性突かれる - 日本コロムビア
倉庫管理システムに不正アクセス、関係者情報が流出か - マツダ
CMS脆弱性を突かれ改ざん被害、名古屋短大など複数サイトに影響