Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2018年9月28日

id:malaさん、対応済み脆弱性の情報開示を受け「プラスメッセージにおける証明書検証不備について」をGistで報告/『実質LINE対抗アプリがLINE社員に脆弱性を報告されるww』

CVE-2018-0691 プラスメッセージにおける証明書検証不備について https://gist.github.com/mala/ba23a7c1356857fd8297bc7efefcd34c スタンプの方はジグノシステムジャパンの「ぷるくまさん」も同社の「ねこ田くんの毎日」と同時に配信開始されているようですが、ネット上に一切情報ないみたいです。
5
リンク Gist CVE-2018-0691 プラスメッセージにおける証明書検証不備について CVE-2018-0691 プラスメッセージにおける証明書検証不備について. GitHub Gist: instantly share code, notes, and snippets. 170 users 12
V @voluntas

CVE-2018-0691 プラスメッセージにおける証明書検証不備について gist.github.com/mala/ba23a7c13… “特に最短3分で返信をくれるSoftbank CSIRTには最大限の敬意を表します” 読んだ。いろいろ凄いな。

2018-09-28 12:07:00
オオヤ@●| ̄|_ @daiginjo88

+メッセージの脆弱性のやつか、Softbankの返信早すぎぃ! - CVE-2018-0691 プラスメッセージにおける証明書検証不備について gist.github.com/mala/ba23a7c13…

2018-09-28 15:13:20
hylom @hylom

電話番号のやり取りがされていないかを検証する課程で見つかったのか。セキュリティクラスタ強い。 / “CVE-2018-0691 プラスメッセージにおける証明書検証不備について · GitHub” htn.to/PweooUpqc

2018-09-28 16:17:17
kusanoさん@がんばらない @kusano_k

すごい。それにしても、何か特殊なケースで証明書が検証されないとかではなく、全く検証していなかったのか……。 "最短3分で返信をくれるSoftbank CSIRT" CVE-2018-0691 プラスメッセージにおける証明書検証不備について gist.github.com/mala/ba23a7c13…

2018-09-28 16:47:12
『実質LINE対抗アプリがLINE社員に脆弱性を報告されるww』
ケータイ Watch @ktai_watch

[ニュース] 3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 k-tai.watch.impress.co.jp/docs/news/1145… pic.twitter.com/pBgAWU4nhW

2018-09-27 15:27:04
拡大
ぱらみり(シン・エヴァ鑑賞後までミュート推奨) @paramilipic

3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch k-tai.watch.impress.co.jp/docs/news/1145… >なお、本件の脆弱性情報は、LINE社員のma.la氏がIPAに報告したことで対策が行われた。

2018-09-28 07:23:59
無理 @muri_kamone

3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch k-tai.watch.impress.co.jp/docs/news/1145… 脆弱性の報告者はLINE社員。 ここはテストに出ますよ。

2018-09-27 19:39:33
Chata Kato 🃏 @chata

えぇ...→ 3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch k-tai.watch.impress.co.jp/docs/news/1145…

2018-09-28 00:20:38
あやこ@配送業はやめとけ @mai_413

実質LINE対抗アプリがLINE社員に脆弱性を報告されるww k-tai.watch.impress.co.jp/docs/news/1145…

2018-09-28 15:04:54
しふくろ@有坂真白FC @shift_crops

「なお、本件の脆弱性情報は、LINE社員のma.la氏がIPAに報告したことで対策が行われた」 LINEに対抗して作ったサービスの穴を,LINEの人が教えてあげてるのめっちゃすこ 3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch k-tai.watch.impress.co.jp/docs/news/1145…

2018-09-28 00:26:11
ooo @ooo_

開発中でテストサーバーと通信してるからという場合ならちょっとはわかるけど、そのまま世に出したらダメ。しかも報告がLINE社員(笑 『3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch』 k-tai.watch.impress.co.jp/docs/news/1145…

2018-09-27 17:11:50
なぅぷり @nowpri

脆弱性の内容もさることながら、5月くらいからの開始なのにドコモのアプリバージョンが42とかいってることに驚いた。 k-tai.watch.impress.co.jp/docs/news/1145… @ktai_watch

2018-09-27 19:10:59
あるゆる♪ @alpha_alyul

3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 k-tai.watch.impress.co.jp/docs/news/1145… #スマートニュース 期待してるのにこのざま。しかもLINEの社員が見つけるとか…。

2018-09-27 19:13:26
こめ@1年凍結されてました @come25136

3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch k-tai.watch.impress.co.jp/docs/news/1145… @ktai_watchさんから 証明書チェックしないって... 証明書の意味ないじゃん

2018-09-28 16:55:18
直美 @naomi_mcrn

3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 k-tai.watch.impress.co.jp/docs/news/1145… デバッグ時に問題切り分けのために検証無効にすることはあっても、まさか商用サービスでそんんな状態になってるとは思わないよね普通…。

2018-09-27 23:32:13
不破@色々面倒臭い @FuwaFWC

LINEが報告した、って記事にしないとヤバイとこなのかしら(笑)。 k-tai.watch.impress.co.jp/docs/news/1145…

2018-09-27 15:40:46
いざてん @izaten

>"不正なSSLサーバー証明書が送信されても、警告を出さずに接続してしまう" 何のためのSSL…… 3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch k-tai.watch.impress.co.jp/docs/news/1145…

2018-09-27 19:37:42
赤西真論 @marron_general

3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch k-tai.watch.impress.co.jp/docs/news/1145… @ktai_watchから 草しか生えないし、それ以上に泥版のバージョン番号がキャリアごとに違うのが意味分から

2018-09-28 01:13:17
こばかつ🇬🇧 @k0bakatsu

3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch - k-tai.watch.impress.co.jp/docs/news/1145… LINEの社員の報告は草 SMS包括しているからバージョンバラバラなんだな

2018-09-28 16:33:39
haireriah @haireriah

とりあえず、うちの、au版Xperia XZ2のやつは1.0.7だったので、最新版にアップデートしとけば問題ないと思う 3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch k-tai.watch.impress.co.jp/docs/news/1145… @ktai_watchさんから

2018-09-27 21:20:08
ももんちょ @momontyo

iOSでもAndroidでも起きてたみたいだし、狙った仕様だったんだろうか? / “3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch” htn.to/Fu1jyxUj

2018-09-27 20:13:06
SKYLINE @a168sky

3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch k-tai.watch.impress.co.jp/docs/news/1145… もうさ、ハングアウトでいいじゃん…

2018-09-27 22:57:57
残りを読む(52)

コメント

Tsuyoshi CHO @tsuyoshi_cho 2018年9月28日
問題あったのはアレなんだけど、報告元がどこだろうと、べつに...という気がする。GoogleのをMSの人が報告、とか逆とか普通にあるし
1
RGB000 @19666_61 2018年9月29日
LINEは情報抜かれるから危険!って言ってた人には少し効きそう
0
せるりあん @kdkwshine 2018年9月29日
セキュリティの不備とLINE社が情報を抜いてどうこうするって話は同列じゃねーだろアホか
0
RGB000 @19666_61 2018年9月29日
それを理由に+メッセージに移行した人って言いなおさせていただくわ。 19666_61 kdkwshine
0
(・ิω・ิ)もろきう(・ิω・ิ) @moroQ_mayuge 2018年9月29日
(ヽ´ω`)「プラスメッセージ」自体はSMSの次世代規格RCS (Rich Communication Services)に準拠したもので、別にLINE対抗アプリってわけじゃないですにゃ (ヽ´ω`)Android標準のメッセージアプリもRCSに対応してるのでこの問題の根幹原因は鯖側なのかアプリ側なのかすごい気になる
2
ちはや🌸🐱 @Chihalog 2018年9月29日
リバースエンジニアリングしてたのかパケットキャプチャしてたのかが気になるかなあ。後者だろうけどー
0