LINEは2月20日付で、同社のコミュニケーションアプリのiOS版「LINE」アプリ(ver7.1.3~7.15)に脆弱性が存在することを明らかにしました。同アプリに組み込まれたサードパーティーSDKでSSLサーバー証明書の検証に不備があり、信用出来ないネットワークでiOS版「LINE」アプリを使って特定の暗号化通信を行った場合に、中間者攻撃(man-in-the-middle attack)による盗聴や改ざんなどが行なわれる可能性があるとのことです。
なお、このセキュリティ脆弱性は、LINE内で表示される各サービスや、外部サービスを利用する際の通信(外部サービスのID・パスワード等を含む)が対象とのことです。なので、LINEのテキストによるトークの内容や、LINEのログイン情報(パスワード)、無料通話、ビデオ通話などは影響を受けることはないとのことです。
なお、この問題は2017年11月24日にリリースしたバージョン「LINE 7.16」で既に修正されており、このバージョン以降にLINEアップデートしているユーザーは問題ないとのことです。また、AndroidやmacOS、あるいはWindows向け公式アプリでこの影響を受けることなありません。
影響を受けるLINEのバージョン
- iOS版「LINE」でバージョン7.1.3〜7.15に該当するアプリ
iOS版のLINEでバージョン「7.1.3」未満、およびバージョン「7.16」以上のものについては影響はありません。
セキュリティ脆弱性の問題と影響
株式会社LINEが提供するiOS向けLINEアプリの該当バージョンに組み込まれたThird Party SDKの脆弱性に起因したSSLサーバ証明書の検証不備の脆弱性が存在します。
中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。
なお、LINEのテキストによるトークの内容、LINE のログイン情報(パスワード)、無料通話、ビデオ通話は、本脆弱性の影響を受けないとのことです。
対策方法は?
最新版にアップデートすることで、このセキュリティ脆弱性の受けることはなくなります。もし、インストールされているLINEのバージョンが最新版出ない場合には、最新版にアップデートしましょう!
今回問題となっているセキュリティ脆弱性は、2017年11月24日にリリースされたiOS版「LINE 7.16」ですでに対策されています。このバージョン以降であれば安全です。
Source:LINE
