パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LINEに深刻な脆弱性、現在は修正済み」記事へのコメント

  • まずそこにビックリ。

    • by Anonymous Coward

      なぜ平文だと思ったのか。
      それが問題だ。
      わざわざmitmと書かれているのに。

      • ちゃんと暗号化されていれば、中間者攻撃は成功しないでしょ。

        今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、
        アプリ動作用のスクリプトなどが平文で伝送されていて、中間者攻撃で改ざんしたJSコードをアプリ側に送り込むことができた、という問題でしょ。
        たとえメッセージの伝送路を暗号化してても、端末上では復号されてメッセージが表示されてるんだから、そこを突かれたらどうしようもない。

        • by Anonymous Coward on 2015年03月17日 13時24分 (#2779076)

          ノー。
          攻撃方法は複数あって、それがごちゃ混ぜになってる。

          ①罠入り無線LANアクセスポイントに接続された状態でスマホのブラウザを開くと、
           LINEを勝手に起動させて情報を送信させるJavaScriptを実行する。
           こちらは平文とか関係なく、ブラウザからLINEを起動させる部分の脆弱性。

          ②同様のJavaScriptを自分の名前に仕込んだ状態で、不特定多数のユーザへ友だち申請を送信し、
           それを表示させたLINEアプリから情報を送信させる脆弱性。
           これは仰るとおり暗号化していても発生する。

          親コメント
          • by Anonymous Coward

            ぶら下げる場所を間違えた。元コメント宛。

          • by Anonymous Coward

            あれ?てことは後者については友だち申請を受理する部分や名前設定周りを改修すればクライアント更新なくても対応できるっぽいね。
            前者は…仕様を知らないのでわかんないけど。

物事のやり方は一つではない -- Perlな人

処理中...