LINE Security Bug Bounty Program

지금은 무기한으로 실시되고 있지만, 2015년에 기간 한정으로 행해졌을 때에 보고해 보상금을 받은 취약성. 비슷한 문제가 없는지 조사 중이라는 것과 구버전의 클라이언트 이용자가 있기 때문에 공표를 삼가라고 했다. 규약의 기밀유지 기한의 1년이 지났기 때문에 물어보았는데, 공표해 문제없다는 것이었으므로, 공개한다.

관련:

LINE Bug Bounty Program에 보고하여 인증되지 않은 취약점(1) - Qiita

LINE Bug Bounty Program에 보고하여 인증되지 않은 취약점(2)/이상 취약점 - Qiita

iOS 버전의 LINE 앱 디렉토리 탐색

LINE에는 파일을 전송하는 기능이 있다. 이 파일 이름에는 디렉토리 순회 취약점이 있었다. 이 파일명을 /../../../../../Documents/test.txt 와 같이 ../ (을)를 포함한 것으로 하면(자), 상대가 파일을 탭했을 때에, 파일을 보존하는 디렉토리 밖에 파일이 보존된다. iOS 버전만으로 Android 버전에는 이 취약성은 없었다. 500달러.

확인하는 것이 귀찮았다. Android라면 루트를 취하면 좋지만, 내가 가지고 있는 iPhone은 당시의 최신판으로 하고 있었으므로 탈옥할 수 없었고, Apple의 개발자 등록도 하고 있지 않았다. PC에 백업을 취하고 이 도구에서 백업 안을 확인했다.

이 취약점을 어떻게 악용할 수 있습니까? 파일을 쓸 수 있기 때문에, 적당한 파일에 쓰면 임의 코드 실행(보장금 1만 달러) 정도 할 수 있는 것은 아닐까 생각했지만, iOS에는 chroot와 같은 샌드 박스가 있어, 다른 앱이나 OS 파일은 만질 수 없습니다. 열심히 악용할 수 있는 LINE 앱 파일을 찾으면 보상금이 더 가득 찼을지도 모른다.

일정 조정의 단축 URL이 HTTP임

이 URL이 HTTP임을 지적하면 500달러를 받았다. LINE 굵은 배.

개인적으로는, HTTP라고 쓰여진 URL에 액세스 해 평문으로 통신이 행해지는 것은, 취약성이 아니라 이용자가 주의해야 할 일이라고 생각하고 있다. 하지만 받을 수 있는 것은 받자.

그것보다, 이 URL이 단축 URL이 되어 있는 것이 문제라고 생각하고 있다. 일정 조정의 페이지는 사용자의 인증등은 행해지고 있지 않고, URL을 비밀로 설정하면 제3자가 일정을 탐색하거나 편집할 수 없습니다. . 이를 위해 일정 조정 URL은 26자의 영소문자와 숫자의 랜덤 문자열로 되어 있다. 가능한 패턴은 3626≒3*1040과 같다. 이것이 7문자의 영숫자가 되는 것으로, 627≒4*1012대로와 패턴수가 크게 줄어들고 있다. 과연 일련번호로 이 URL이 정해져 있는 것은 아니지만, 오로지 URL을 계속 두드리면 어딘가의 누군가의 일정 조정을 충당할 가능성도 있을 정도의 수. HTTP의 건과 함께 보고했지만, 특히 수정은 되어 있지 않으므로, 이것은 사양인것 같다.