LINE、プロフ画像が第三者に変更される脆弱性 「プロフ画像、変えられてないか確認を」とユーザーに呼び掛け

[ITmedia]

　LINEは、LINEアプリのプロフィール画像（プロフ画像）を第三者が変更できる脆弱性を8月31日に修正したと発表した。この脆弱性を利用してプロフ画像を不正に変更する攻撃も確認。被害を受けたユーザーには個別に連絡をしているが、同社が把握できていない被害もあり得るとし、ユーザー自身で確認するよう呼び掛けている。

LINEの告知より

　8月31日、LINEの脆弱性を発見した人に報奨金を贈る制度「LINE Security Bug Bounty Program」を通じ、プロフの画像アップロード機能にバグがあると報告を受けたという。

　LINEが確認したところ、プロフ画像を変える際に使われる画像アップロード機能のAPIにアクセス制御の不備があり、第三者によってプロフ画像を変更できる状態になっていた。

　脆弱性は5月17日からあったことが判明。少なくとも2019年8月30日〜31日にかけて、この脆弱性を利用してプロフ画像を不正に変更する攻撃を受けていたことが分かった。個人ユーザーのアカウントだけでなく、LINE公式アカウントやLINE@も影響を受けた。

　不正に変更されたと確認した個人ユーザーのプロフ画像については、デフォルト画像に変更し、ユーザーに個別に連絡した。攻撃を受けたLINE公式アカウントなどの一部ユーザーにも、個別に連絡したという。

　現時点でプロフ画像が書き換えられたままになっている場合は、同社が把握できていない可能性があるとし、同社に連絡するよう呼び掛けている。