LINE client for iOS にサーバ証明書の検証不備の脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・発見された脆弱性の内容
・リリース後に脆弱性の有無を確認するタイミング
今回の解説ニュース
LINEの脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性の内容と、リリース後に脆弱性の有無を確認するタイミングについて説明します。
今回の脆弱性は、LINE client for iOSにサーバ証明書の検証不備の脆弱性が存在するというものです。影響を受けるシステムは、LINE Client for iOS 13.12.0から13.16.0のバージョンです。影響として、中間者攻撃で通信データが盗聴される可能性があるということです。深刻度を表すCVSSv3の基本値は4.8で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-5554」で検索してみてください。
発見された脆弱性の内容
中間者攻撃とは、Man-In-The-Middle attackの訳で、MITM攻撃とも略される、ネットワーク上の通信経路上で行われるサイバー攻撃の一つです。通信の仲介者に成りすますことで、通信内容を盗み見たり、改ざんしたりするサイバー攻撃です。
例えば、初めて会う人と打ち合わせをするとします。相手が何者であるかは、名刺や身分証明書を確認して、あらかじめ認識している本人であるか検証した上で、打ち合わせに望めますが、その確認が不十分であると、相手がどこの誰かわからない状態で、個人情報を打ち合わせで伝えることになるかもしれません。
今回の脆弱性も同様に、通信先があらかじめ想定したサーバであるか確認する必要があるところを、通信先を確認するプロセスの一つであるサーバ証明書の検証が不十分であるため、結果として、誤ったサーバと通信してしまうことで中間者攻撃を受け、通信データが盗聴される可能性があることになります。