ニュース

iOS版「LINE」の旧版に脆弱性、サーバー証明書の検証不備により内容改竄の恐れ

昨年11月24日にリリースされたv7.16で修正済み

“JVN”の脆弱性レポート(JVN#75453852)

 脆弱性ポータルサイト“JVN”は20日、iOS版「LINE」アプリに脆弱性が存在することを明らかにした。同アプリに組み込まれたサードパーティーSDKでSSLサーバー証明書の検証に不備があり、中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行なわれる可能性があるという。

 本脆弱性はiOS版「LINE」アプリのv7.1.3からv7.15に影響し、悪意を持って設置されたアクセスポイントなどに接続した場合に、アプリ内に表示される内容が改竄される恐れがある。脆弱性の深刻度は“CVSS v3”の場合で基本値“4.8”、“CVSS v2”の場合で基本地“4.0”。なお、「LINE」のテキストによるトーク内容やログインパスワード、無料通話、ビデオ通話などは影響を受けないという。

 この問題は昨年11月24日にリリースされたv7.16で修正されているので、常に最新版を利用するように心がけていれば問題はない。