アナリストがLINEアプリの脆弱性を明らかに、ユーザーのメッセージが何十億もの脅威にさらされる
LINE、日本の暗号化されたアプリ、攻撃者にとって多くの攻撃方法を持っていることが明らかになりました。これにより、LINE上の何十億ものメッセージも漏洩やデータの悪用に対して脆弱になります。
この問題は、キーパーセキュリティのアジア太平洋地域担当シニアバイスプレジデント兼日本カントリーマネージャーの西山隆徳によって強調されています。Takanoriは、メッセージの再生、URLのプレビュー、ステッカーによるテキストの露出、仲介技術によるアイデンティティの模倣など、特定された攻撃方法のいくつかについて言及しました。
LINEでは、ユーザーはサーバー機能を検証する機能に制限があります。これは、ユーザーを悪用しようとするサイバー犯罪者に機会を与えます。さらに、暗号化されたメッセージデータは、文脈の外で再生することができます。
この発見は、プロトコルの設計に微妙な欠陥があることを示しています。この設計は、たとえ安全だと主張するシステムであっても、武器として利用される可能性があります。Takanori氏によると、企業や公共機関は、この発見を早期警告と見なすべきです。
「暗号化だけでは不十分です」とTakanori氏は11月29日土曜日にVOIが受け取った声明で引用されたように述べた。彼は、プロトコルとサーバーアーキテクチャは、継続的に独立して検証され監査されるべきであると付け加えた。
Takanori氏によると、企業は強力な認証からセッション監視まで、非常に厳密な制御で特別なアクセスを管理し、資格情報の悪用のリスクを軽減する必要があります。この行動は、セキュリティ環境が圧力下にあるときに運用上の整合性を維持することができると考えられています。
「これは、メッセージがデバイスを離れる前にどのように処理されるか、メッセージがサービスインフラストラクチャ全体でどのように処理されるか、サービスプロバイダー自身が最も弱いリンクにならないようにシステム設計がどのように行われるかについてです」とTakanori氏は説明しました。