iOS版「LINE」アプリにサーバー証明書の検証不備、中間者攻撃のおそれ

脆弱性レポート「JVNVU#91696361」

　脆弱性ポータルサイト「JVN」は4月19日、脆弱性レポート「JVNVU#91696361」を公開した。iOS版「LINE」クライアントアプリのサーバー証明書検証処理に不備があったという。

　この脆弱性（CVE-2023-5554）はiOS版「LINE」アプリv13.12.0およびそれ以降、13.16.0より前のバージョンに影響するとのこと。アプリに組み込まれている「金融系モジュール」のログ情報送信処理に問題があり、中間者攻撃（man-in-the-middle attack）により、通信データが盗聴される可能性がある。「CVSS 3.0」基本値は「4.8」と評価されている。

　LINEヤフー（株）によると、この問題は2023年10月13日に修正済み。アプリを自動更新しているならば、影響はなさそうだ。なお、執筆時現在の最新版は4月18日付で公開されたv14.6.0となっている。