iOS版「LINE」の旧版に脆弱性、サーバー証明書の検証不備により内容改竄の恐れ

“JVN”の脆弱性レポート（JVN#75453852）

　脆弱性ポータルサイト“JVN”は20日、iOS版「LINE」アプリに脆弱性が存在することを明らかにした。同アプリに組み込まれたサードパーティーSDKでSSLサーバー証明書の検証に不備があり、中間者攻撃（man-in-the-middle attack）による暗号通信の盗聴などが行なわれる可能性があるという。

　本脆弱性はiOS版「LINE」アプリのv7.1.3からv7.15に影響し、悪意を持って設置されたアクセスポイントなどに接続した場合に、アプリ内に表示される内容が改竄される恐れがある。脆弱性の深刻度は“CVSS v3”の場合で基本値“4.8”、“CVSS v2”の場合で基本地“4.0”。なお、「LINE」のテキストによるトーク内容やログインパスワード、無料通話、ビデオ通話などは影響を受けないという。

　この問題は昨年11月24日にリリースされたv7.16で修正されているので、常に最新版を利用するように心がけていれば問題はない。