【LINE】LINEに4件の深刻な脆弱性が発見される(’16/02/22)

Episode #3


2/22に「れき」と「しりちゃんLINEぼっと」という二人のLINEユーザが、LINEが発見していない新たな脆弱性を4つ公開しました

発見者はLINEを解析したものをLinux上で動かし、実際に脆弱性がある部分を実演していました

その内容は次のものです

  1. PCなどのデバイスからLINEにログインした際、スマートフォンなどのメイン端末から遠隔的にログアウトを実行しても、認証トークンが失効されない
  2. タイムラインを非公開に設定しているユーザーにも自分のタイムラインを読み込ませるリクエストが実行可能
  3. 自分以外のmidを使用し、自分以外のアカウントに成りすましてタイムラインにコメントをするリクエストが実行可能
  4. 同じく自分以外のmidを使用し、グループのメンバーに成りすましてグループノートを閲覧、編集するリクエストが実行可能

今回はこの件に関して詳しく記述していきたいと思います

1つ目の脆弱性に関して

これが一つ目にして、一番危険な脆弱性です。

…例えば攻撃者が相手の個人情報を盗みたかったとしましょう

まず、相手はPCログイン用のQRコードを用意したとします

LINE脆弱性1

自分が何らかの経緯でこのQRコードを騙されて読み込んでしまったとします

すると、相手のPC上にはアカウント名や参加しているグループのほかにAuthtoken(認証トークン)mid(ユーザー識別ID)も読み込みます。

それに対してスマホ側は、万が一乗っ取りだった場合のためにログアウト用のリンクが送られてきます

LINE脆弱性3

この時点で乗っ取りだと気付いた場合ログアウト用のリンクをタップすればいいのですが、問題はこれからです。

PC側に送られてきたAuthtoken(認証トークン)はログアウトさせても失効されません!! つまり、ログアウトさせてもタイムラインに投稿ができたり、参加しているグループや友達の一覧も取得できます

これについて、発見者であるれきさんはこう見解しています

LINEはみずほ銀行ヤマト運輸と企業提携をしていて、みずほ銀行は残高など、ヤマト運輸は配達先と時刻がチャットから確認できます

ログアウトしても認証トークンが失効されないということはトークの内容さえ見れてしまえば、銀行の残高…さらには家にいる時間までわかってしまうということなのです。

2つ目の脆弱性に関して

2つ目の脆弱性は”自分のタイムラインを非公開にしている友達にもタイムラインが覗き見られてしまう”ということです。

これはPCがログインした時に受け取るmid(ユーザー識別ID)認証トークンが正しいペアであるかどうかを確かめていないというもので、解析した内容によると「公開・非公開」関係なくタイムラインがみれたそうです

れきさんは「おそらくもっと大変なのもあるだろう」と発言しています

3つ目の脆弱性に関して

3つ目の脆弱性は”他の人に成りすましてタイムラインにコメントができる”というものです。これは友達のみならず、midさえ分かってしまえば公式アカウント(LINE@)にも成りすませてしまいます。

(例えばauの公式アカウントに成りすましてSoftbankの公式アカウントに喧嘩を売る…なんてこともありえますね。まあそれはそれで面白いことになりそうですが)

LINE脆弱性4

4つ目の脆弱性に関して

これは、参加者のみが編集可能なグループノートアルバムを、参加者に成りすまして編集、閲覧ができるというものです。家族との思い出や、クラスの写真なども覗かれてしまいます。

具体的には”グループ参加者のmidを使って閲覧・編集ができる”というものなので、異変を感じたら怪しいメンバーをはじき出すのが手取り早いでしょう。

現時点でできる対策

  • 知らないQRコード/URLを読み込まない
  • 成りすまされている友達はブロックする
  • 成りすまされているグループメンバーは退会させる

この3つを厳守していれば「midがばれていない限り」被害にあうことはないでしょう。尚、この脆弱性はLINE・IPAには報告済みです(LINEは対応しないと思うけどね)

みなさんも被害にあわないように気を付けましょう。それではノシ

NijiPicoをフォローして最新のFeedを入手