ひだまり    今は古事記に夢中! 新社会人のみなさん!学生気分で「LINE」を使うのはたいへん危険です! 外部から全トーク履歴を抜き出される危険性あり

アメブロから引っ越してきた過去記事の再公開と、                       もっと日本を知るために「竹田研究会」の紹介を主にしていきます。

新社会人のみなさん!学生気分で「LINE」を使うのはたいへん危険です! 外部から全トーク履歴を抜き出される危険性あり

                      
Cyber Incident Report March 16, 2015 07:45

「LINE」に深刻な脆弱性 
外部から全トーク履歴を抜き出される危険性あり

http://csi.sproutgroup.co.jp/archives/000077.html

by editor of sprout

全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が存在
していたことが判った。
この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに保存されているLINE内の
トーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、改竄される恐れがある。
LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。
利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。

この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』
発行元)が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進
機構)に報告したものだ。
IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部についてサーバー側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したとしている。

LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と「マン・イン
・ザ・ミドル(中間者)」と呼ばれるサイバー攻撃の標的になる複数の脆弱性だ。
これらの脆弱性は、LINEがインストールされている「iPhone」や「Android」搭載の主要なスマートフォン
上で確認されており、多くの利用者が危険な状態に置かれていたと言える(最新版にアップデートされ
ていなければ現在も危険な状態だ)。

この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード(JavaScript)が
実行され、攻撃者が内部のデータに自由にアクセスできてしまう。
非常に深刻なのは、攻撃者がアクセスできるデータの対象が広範囲なことだ。
対象となるデータは、LINE内の全トーク履歴、写真、友達リスト、グループリスト、認証情報、
プロファイル情報、位置情報に及ぶ。


つまり、LINEの利用者が「安全」に保存されていると信じている殆どのデータが、
実は危機に晒され続けていたことを意味する。
影響がここまで広範囲に渡ったのは、攻撃者がJavaScriptを使って内部の様々な処理を実行できる
仕様になっていたためだ。


想定される攻撃手法は大きく分けて2つある。
ひとつは、攻撃者が駅やカフェといった公共の場所に偽の無線LANアクセスポイントを設置し、そこに
不用意に接続した利用者がブラウザなどからインターネットに繋いだ瞬間に、前述のサイバー攻撃を
仕掛けて不正なプログラム・コードを実行させるというものだ。
あとは、それに従いLINEが動作すれば、いくつかの処理を経た後に利用者のLINEデータが攻撃者の
サーバーに送信される。

もうひとつは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に不正な
プログラム・コードを埋め込む手法だ。
その状態で、メッセージやリンクなどを通じて不正なプログラム・コードが実行されれば、後は同じように
利用者のLINEデータが攻撃者のサーバーに送られる。
名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのはセキュリティ上必須だが、
LINEにはそこに漏れがあった。

今回見つかった脆弱性は最新バージョンで修正されたものの、今後また似たような脆弱性が出てこな
いとも限らない。LINEに限らず、利用者がこういったサイバー攻撃から身を守るには、不用意に運営元
が分からない公衆無線LANに接続しない、SNS(ソーシャル・ネットワーキングサービス)などで見知らぬ
相手と繋がることを避ける、不審なリンク先に接続しない、重要なデータは安全性が確認されていない
アプリやサービスではやり取りしない、といった基本的な自衛が必要だ。

とはいえ、利用者側の自衛には限度がある。多くの利用者を抱えるLINEの様なサービス事業者には、
多様化するサイバー攻撃から利用者を守るための様々な対策が求められる。


http://www.scienceplus2ch.com/archives/4987297.html


。。。。。。。。。。。。。。。。。。。。


<この記事についたコメント>

脆弱性というより
それが目的のアプリだろ?



         だよね  



うちの会社使用禁止になったわ



元からこういう仕様だから
筒抜けても大丈夫な奴が使ってるんだろ?w



え? みんな承知の上で使用してるんだろw?



うん、そうだよね
それを前提に当たり障りのないことにだけ使うべきアプリ



トーク削除したわ
別にたいした事書いてないけど




無料で使える意味を
少しは考えろ




会社単位、仕事で使ってる所ってセキュリティどうなってんの?


ご想像通りなんじゃね?



普通に企業機密だろってレベルの情報を
LINEで書いてるやつが居てゾッとしたわ




こりゃ今後マイナンバーのもダダ漏れ確定だろうな
危機感皆無




無料で個人情報流します


納得だわ
アプリに引っかかって個人の財産情報ダダ漏れで
困る国民大量ってあり得そう




題なのは、
使ってる低知能は自業自得でご愁傷様で済むけど、
ユーザじゃない身近な人間や関係性のある人間まで
巻き添えのリスクがあるって点だよ
誰が被害の際の補償をするんだろうな?



そもそも韓国政府がLINEの情報抜いてるって公言してたよね




会社で禁止されてる。   → まともな会社



LINE便利だから止められる訳が無いとか言ってるやつほど
似た様なアプリなんて山ほどあって
LINEなんぞ日本でしか流行ってないという事を知らない




だってスマホ=ラインだものね
ガラケー増えたら困るとかかなw




ガラケの俺大勝利



LINEに限らないけどね


。。。。。。。。。。。。。。。。。。。。。。。。。



★LINE使うなら知っておけ!!   もっとLINEは慎重に警戒すべき

★「LINEは個人情報を抜き取る韓国アプリ」 

★「LINEはなぜ無料なの?」
 ~それは、他人の個人情報を盗むスパイウェアに加担した報酬~



★テレビでは教えられないLEDの真実… なぜLEDによるブルーライトが目に悪いのか?


関連記事
スポンサーサイト
コメント
コメントの投稿
管理者にだけ表示を許可する
リンク
このブログをリンクに追加する
最新記事
カテゴリ
月別アーカイブ
検索フォーム
プロフィール

うさんぽ

Author:うさんぽ
アメブロにいた「うさんぽの小径」のうさんぽです。
普通の子持ちの主婦です。
うさぎブログのはずだったのに、気がついたらこんな重いブログになっていました…
思いっきり、主婦目線、母親目線、オバサン目線でいろんな情報に感想を書いています。

記事を引っ越してきたので改行が狂ったりリンクが開けないなど見苦しいところがあり申し訳ありません。

QRコード
QR
RSSリンクの表示