Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

LINEのQRコードログインに2要素認証バイパスの脆弱性 - 悪用被害も

LINEは、コミュニケーションアプリ「LINE」のQRコードを用いたログインにおいて2要素認証を回避される脆弱性が存在したことを明らかにした。海外において脆弱性を悪用した不正ログインも発生していた。

同社によれば、「Windows版」「macOS版」「iPad版」「Chrome版」において、QRコードを用いたログインを行う際、本来求められるはずの2要素認証がバイパスされる脆弱性が存在したという。

攻撃者が、QRコードログインのURLを取得。被害者を同URLへアクセスさせ、ログインを完了させる画面に誘導して「ログイン」ボタンを押させることで、PINコード入力による2要素認証を脆弱性によってバイパスし、攻撃者のデバイスでログインを完了できる状態だった。

ログインされると、「トーク内容」「友だち」「グループ」「トークリスト」「タイムライン」「Keep」の保存コンテンツなどを閲覧されるおそれがある。

7月3日に同社のバグバウンティプログラムを通じて報告があり、脆弱性が判明した。脆弱性は2019年11月25日以降存在しており、修正した7月7日19時ごろまでに556件のユーザーにおいて脆弱性を利用したログインが行われていた。

(Security NEXT - 2021/09/13 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ランサム攻撃で従業員情報が暗号化、復旧は断念 - 河村電器
資格検定申込サイトへSQLi攻撃 - メアド流出の可能性
事業者向けDIY通販サイトに不正アクセス - サービス開始から約2週間で被害
カタログギフト販売サイトに不正アクセス - 顧客情報が流出した可能性
アニメ制作会社ショップに不正アクセス - 顧客情報が流出
スニーカー通販サイト、顧客情報流出の可能性 - リニューアル前の被害が判明
経産省、メタップスPに行政処分 - 診断で脆弱性見つかるも報告書改ざん
ひな人形の通販サイト、クレカ含む個人情報が流出した可能性
国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
カラコン通販サイトに不正アクセス - クレカ情報流出、不正利用された可能性