高校生2人組、LINE の4種類の脆弱性を発見する
タレコミ by Printable is bad.
Printable is bad. 曰く、
非公式LINEボット「しりちゃん」の開発者 と れき 氏(共同脆弱性発見者、共に現役高校生)が、LINE の脆弱性を発見し、脆弱性の解説動画を配信 している。
発見されたのは、下記の4種類の脆弱性。
- PCなどのデバイスからLINEにログインした際、スマートフォンなどのメイン端末から遠隔的にログアウトを実行しても、認証トークンが失効されない
- タイムラインを非公開に設定しているユーザーにも自分のタイムラインを読み込ませるリクエストが実行可能
- 自分以外のmidを使用し、自分以外のアカウントに成りすましてタイムラインにコメントをするリクエストが実行可能
- 自分以外のmidを使用し、グループのメンバーに成りすましてグループノートを閲覧、編集するリクエストが実行可能
これらの脆弱性はLINE・IPAに報告済みであるが、現時点では修正されていない。
高校生2人組、LINE の4種類の脆弱性を発見する More ログイン