ニュース

iOS版「LINE」アプリにサーバー証明書の検証不備、中間者攻撃のおそれ

最新版への更新を

脆弱性レポート「JVNVU#91696361」

 脆弱性ポータルサイト「JVN」は4月19日、脆弱性レポート「JVNVU#91696361」を公開した。iOS版「LINE」クライアントアプリのサーバー証明書検証処理に不備があったという。

 この脆弱性(CVE-2023-5554)はiOS版「LINE」アプリv13.12.0およびそれ以降、13.16.0より前のバージョンに影響するとのこと。アプリに組み込まれている「金融系モジュール」のログ情報送信処理に問題があり、中間者攻撃(man-in-the-middle attack)により、通信データが盗聴される可能性がある。「CVSS 3.0」基本値は「4.8」と評価されている。

 LINEヤフー(株)によると、この問題は2023年10月13日に修正済み。アプリを自動更新しているならば、影響はなさそうだ。なお、執筆時現在の最新版は4月18日付で公開されたv14.6.0となっている。