Android版「LINE」の「Keep」機能に脆弱性 ～実装時から7年以上、気付かれず存在

同社のアナウンス

　コミュニケーションアプリ「LINE」を提供するLINE（株）は12月15日、Android版「LINE」アプリで提供されている「Keep」機能に脆弱性があったことを明らかにした。本機能がAndroid版に追加された2015年8月12日から7年以上、気付かれずに存在していたという。

　「Keep」（キープ）は、「LINE」アプリに搭載されているストレージ機能。トークの内容や画像、動画やリンクなど、あとでチェックしたいデータを手軽に保管できる。保存できるデータは最大1GBまでで、50MBを超えるファイルは30日間で削除される。

　今回公表された脆弱性の内容は、「LINE」アカウントからログアウトしても「Keep」のデータがデバイスに残り、他のアカウントでログインするとその内容を閲覧できてしまうというもの。以下の条件をすべて満たした場合に発生した可能性がある。

• Android版「LINE」アプリのバージョン12.18.0未満で、「LINE」アカウントの削除もしくは、他の端末への「LINE」アカウントの引き継ぎを行う
• その際に、「LINE」アプリが強制終了するなどの理由で「LINE」アカウントからのログアウト処理が中断する
• 「LINE」アプリを削除せずに、共有もしくは譲渡によって同一のAndroid端末を第三者が利用し、別の「LINE」アカウントで利用する

　この脆弱性は2022年9月23日に社内より報告があり発覚。その後抑止処理を追加するとともに、Android版アプリの改修を進めたという。10月25日にリリースされたv12.18.0で脆弱性は解決されており、このバージョンにアップデートされていれば問題はない。

　同社で確認できる期間（2022年9月7日から2022年9月27日）に本事象が発生した可能性があるユーザーに対しては、公式アカウントから個別に案内しているとのこと。しかし、それ以前に発生していた場合は確認不能で、被害に遭ったユーザーがいた可能性がある。