Security

【インターンレポート】LINEクライアント内に見つかった脆弱性について

初めまして。LINEの夏季インターンシップにセキュリティエンジニアとして参加した小池悠生です。1ヶ月間、アプリケーションセキュリティチームにて、LINEが提供するプロダクトのリスクアセスメントや、オープンソースプロジェクト(https://github.com/line/)のバグハントなどに取り組んでいました。

インターンが始まる前、インターン中の業務として与えられるのは主にリスクアセスメントのみだと思っていたのですが、蓋を開けてみれば自分のしたい事をほとんど自由にさせていただける非常に柔軟なインターンでした。その成果の1つとして、私がLINEクライアント内で見つけた脆弱性についてお話ししたいと思います。

以下、少し技術的な話に終始してしまいますが、この記事を通して皆さんにお伝えしたいことは、
皆さん、必ずLINEクライアントを最新バージョンにアップデートしましょう!!!
ということです

LINE新卒エンジニアのしごと〜6月のセキュリティエンジニア編〜

LINEには、今年33名の新卒エンジニアが入社しています。この連載では、新卒で入社したエンジニアがどのように働き始め、どのような仕事をしているのかを月に1回程度の持ち回りで紹介してもらいたいと思います。
2018年秋〜2019年春入社の2回目は、LINEのセキュリティー部門であるアプリケーションセキュリティチームに所属しているKohさんに、仕事の始め方や最初にやった仕事、普段の業務を紹介してもらいました。

Another One Bites the Apple!

こんにちは。LINEでセキュリティを担当しているチャン・ジュノです。私は、LINEが提供するサービスをハッキングし、そのセキュリティを強化する仕事を担当しています。また、趣味として他社の製品の脆弱性を見つけて報告することで、より安全な世界を実現することに貢献しています。
このようにセキュリティの脆弱性を探すことを、ハッカーの間ではバグハンティング(bug hunting)と言います。ハッカーは、バグバウンティ(bug bounty)で賞金を獲得します。賞金がなくても、ハッカーとして名声を得るために、あるいは純粋に面白くてハッキングします。

この記事では、多くのハッカーがバグハンティングのターゲットにするApple製品で、バグハンティングを行った過程を紹介します。 

ゲームセキュリティ運営から見たチート対策としてのモニタリングについて

こんにちは。LINEのgame securityチームでLINE GAMEのセキュリティ運営を担当している李明宰です。

LINE GAMEが誕生してから6年以上(https://6thanniversary.game.line.me/)経ちますが、今回はその6年間を通して、セキュリティ運営から見たゲームのチート対策とそのモニタリングについて、皆さんにご紹介したいと思います。

チートとは、悪意のあるユーザー(以下、アビューザー)により、ゲームを有利に攻略する目的でアプリが改ざんされる行為全般を指します。

LINEでは、LINE GAMEのユーザーの皆さんが安心できるように、ゲームアプリのリリース後、様々な取り組みを通じて、ゲーム内に存在するアビューザーの分析や対応を行っております。

特にチート対策の考え方として、アプリ側での対策のほか、後ほどご紹介するモニタリングを中心とした対応の観点にも着目してお読みいただければと思います。

iOSのコード署名について

こんにちは。LINEでAIR ARMORの開発を担当しているSIM MINYOUNGです。AIR ARMORは、LINE GAME PLATFORMの一つであるAIRを構成する一つのセキュリティソリューションです。AIRについてはこのURLで紹介されました。前回のブログでは、Androidの署名の仕組みであるAPK Signingについて紹介されましたが、今回のブログでは、iOSのコード署名について紹介したいと思います。

コード署名は、ファイルの完全性を保証する、署名者(開発者)を確認する役割があります。Mach-O形式で表現されるiOSのバイナリーに対する完全性や署名者の検証は、後ほど説明するCode signature構造によって実現されています。

APK Signingについて

こんにちは。LINEでAIR GOの開発を担当しているKIM SEUNGHOONです。
最近、Googleは、Android 9(Pie)で、APK Signature Scheme v3を紹介しました。
これに伴い、AIR GOも、APK Signature Schemeを検知できるようになりましたので、このブログでは、APK Signing(APK Signature Scheme)が何かとAIR GOがどのように検知するかについて紹介したいと思います。
(AIR GOについては前回の記事を読んでいただければと思います。)

LINE and Intertrust Security Summit 2018, Autumn参加レポート

セキュリティ室の市原です。

今回は、2018年10月29日(月)にローマ(Museo de Arapacis)で開催された
“LINE and Intertrust Security Summit 2018, Autumn”について、幾つかのスピーチやパネルセッションをピックアップして報告します。

Website: https://www.intertrust.com/company/events/2018-fall-line-summit/

ハイライト映像: 

AIR GOの紹介

こんにちは。AIR GOの開発を担当しているKIM TAEWOOです。このブログではAIR GOを紹介したいと思います。

AIR GOとは一言で言うとAndroid/iOSのビルドバイナリ(APKファイル/IPAファイル)を分析し、脆弱性を含むリスクを発見するツールです。オープンソースツールであるSanDroidなどを利用したことがある方はイメージしやすいと思います。最近社内では、アプリをリリースする際にAIR GOを活用して、リリース前のアプリに含まれるリスクを除去するようにしています。

社内の方であれば誰でもAIR GOにアクセスして利用することができますし、外部の方も、https://airgo.line.meにアカウントを登録すれば利用することが来ます。(1回/1日)

過去にコーポレートページでセキュリティサービス「AIR」を紹介(https://linecorp.com/ja/pr/news/ja/2018/2126)していますが、今回はAIRを構成するツールの一つであるAIR GOについて、エンジニアの観点から紹介します。