アカウント名:
パスワード:
まずそこにビックリ。
なぜ平文だと思ったのか。それが問題だ。わざわざmitmと書かれているのに。
ちゃんと暗号化されていれば、中間者攻撃は成功しないでしょ。
今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、アプリ動作用のスクリプトなどが平文で伝送されていて、中間者攻撃で改ざんしたJSコードをアプリ側に送り込むことができた、という問題でしょ。たとえメッセージの伝送路を暗号化してても、端末上では復号されてメッセージが表示されてるんだから、そこを突かれたらどうしようもない。
ノー。攻撃方法は複数あって、それがごちゃ混ぜになってる。
①罠入り無線LANアクセスポイントに接続された状態でスマホのブラウザを開くと、 LINEを勝手に起動させて情報を送信させるJavaScriptを実行する。 こちらは平文とか関係なく、ブラウザからLINEを起動させる部分の脆弱性。
②同様のJavaScriptを自分の名前に仕込んだ状態で、不特定多数のユーザへ友だち申請を送信し、 それを表示させたLINEアプリから情報を送信させる脆弱性。 これは仰るとおり暗号化していても発生する。
ぶら下げる場所を間違えた。元コメント宛。
あれ?てことは後者については友だち申請を受理する部分や名前設定周りを改修すればクライアント更新なくても対応できるっぽいね。前者は…仕様を知らないのでわかんないけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
平文だったの。。。 (スコア:0)
まずそこにビックリ。
Re: (スコア:-1)
なぜ平文だと思ったのか。
それが問題だ。
わざわざmitmと書かれているのに。
Re: (スコア:2)
ちゃんと暗号化されていれば、中間者攻撃は成功しないでしょ。
今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、
アプリ動作用のスクリプトなどが平文で伝送されていて、中間者攻撃で改ざんしたJSコードをアプリ側に送り込むことができた、という問題でしょ。
たとえメッセージの伝送路を暗号化してても、端末上では復号されてメッセージが表示されてるんだから、そこを突かれたらどうしようもない。
Re:平文だったの。。。 (スコア:3, 参考になる)
ノー。
攻撃方法は複数あって、それがごちゃ混ぜになってる。
①罠入り無線LANアクセスポイントに接続された状態でスマホのブラウザを開くと、
LINEを勝手に起動させて情報を送信させるJavaScriptを実行する。
こちらは平文とか関係なく、ブラウザからLINEを起動させる部分の脆弱性。
②同様のJavaScriptを自分の名前に仕込んだ状態で、不特定多数のユーザへ友だち申請を送信し、
それを表示させたLINEアプリから情報を送信させる脆弱性。
これは仰るとおり暗号化していても発生する。
Re: (スコア:0)
ぶら下げる場所を間違えた。元コメント宛。
Re: (スコア:0)
あれ?てことは後者については友だち申請を受理する部分や名前設定周りを改修すればクライアント更新なくても対応できるっぽいね。
前者は…仕様を知らないのでわかんないけど。