丹麥奧胡斯大學的研究團隊發現,即時通訊平台LINE的端對端加密(E2EE)協定有一個嚴重漏洞。 LINE已成為亞洲(包括日本)重要的社交基礎設施。這項發現的詳細內容將在2025年12月8日起在倫敦舉行的Black Hat Europe 2025安全大會上公佈。
發現的漏洞分為三類:訊息重播攻擊、明文和時間戳洩漏以及欺騙攻擊。研究人員也成功地在 iOS 裝置上實施了中間人攻擊。要執行這些攻擊,使用者必須連接到惡意 LINE 伺服器。
LINE 聲稱已在 2019 年修復了 Letter Sealing v1 中的類似漏洞,但該問題在當前版本 v2 中更加嚴重。雖然 LINE 承認了該漏洞的存在,但由於該漏洞是由其專有協定設計中的特定特性造成的,因此並未提供太多緩解方案。
從: 
LINE即時通訊軟體漏洞使亞洲用戶面臨網路間諜風險
【社論】
這次漏洞發現引發的最重要問題是:「LINE為什麼要設計自己的加密協定?」在密碼學領域,設計自己的協定被認為是禁忌,這其中有其明確的原因。
標準化協議,例如 Signal 協議,已經過全球密碼學家多年的測試,並被 WhatsApp 和 Facebook Messenger 等主流即時通訊應用所採用。而專有協議則未經充分測試,更容易重蹈覆轍,再次暴露出先前研究發現的問題。事實上,Telegram 早期也採用了自己的協議,安全專家就曾指出其中存在的多個漏洞。
尤其嚴重的是,儘管LINE聲稱已於2019年修復了信件密封v1版本的漏洞,但v2版本中問題反而更加嚴重。這顯示其設計理念存在根本性問題。研究人員提及「十年前的安全標準」並非僅僅是批評,而是反映了該系統無法跟上現代網路威脅演進的現實。
截至2025年6月底,LINE在日本的用戶數將超過9,900萬,其影響力不可估量,因為它也與銀行交易和電子化政府服務相關聯。研究人員指出,「冒名攻擊」允許群組聊天中的任何人冒充其他成員發送訊息。這可能導致機密企業資訊外洩或重要決策被竄改。
另一個不容忽視的威脅是「重播攻擊」。攻擊者能夠將過去的訊息重新發送到不同的場合,這意味著,例如,一條「是」的批准回應可能被濫用,用於完全不同的事項。在商業領域,這種簡單的攻擊可能導致合約被欺詐性批准,並造成經濟損失。
地緣政治風險不容忽視。在台灣,很大一部分人口每天都使用LINE,正如研究人員所暗示的那樣,某個特定政府試圖幹預伺服器基礎設施的可能性是一個真實存在的威脅。這種漏洞的固有危險在於,攻擊者只需連接到惡意伺服器即可發動攻擊,而使用者幾乎沒有任何辦法察覺。
遺憾的是,儘管LINE已經承認存在漏洞,但由於該問題涉及協議設計的根本層面,因此並未提出任何根本性的修復方案。使用者只能採取一些有限的措施,例如更改預設設定。如果您想要真正安全的即時通訊,或許需要考慮切換到其他使用標準化協定的應用程式。
[編按] 2025/12/02 站長:荒木圭介
關於DarkReading文章中提到的中間人攻擊(MiTM),此類攻擊要成功,必須滿足以下條件之一:安裝了偽造的證書、攻擊了證書頒發機構(CA)並頒發了偽造的證書,或者LINE部署了錯誤的(偽造的)伺服器。考慮到許多社交網站除了HTTPS之外不使用任何其他加密方式,普通用戶可能不必對此立即大驚小怪。
然而,這凸顯出 LINE 不提供獨立於伺服器的安全保障(如 Signal)。
此外,LINE 透過驗證其伺服器實現中未加密的元數據,使得在不修復底層漏洞的情況下,此類攻擊似乎不可能發生。
但這真的是端對端加密(E2EE)嗎?
補充說明:關於LINE的「專有協議」 2025/12/03
「設計自己的協議是禁忌」其實是密碼學界的一句俗語。
“不要自行創建加密貨幣”
・LINE 的「信件封口」功能採用標準演算法。
- 相關規範和白皮書已經公開,目前正在由研究人員進行分析。
- Signal 也在安全專家的監督下實施了自己的加密協議。
・LINE作為一款國際上廣泛使用的大型即時通訊應用,並不意味著LINE不能基於標準加密套件(演算法)實現自己的加密協定。 LINE很可能擁有內部安全和加密專家,因此我們期待未來協議的改進。
有關 LINE 專有協議 Letter Sealing v2 的更多信息,請參閱 LINE 加密狀態報告和 LINE 加密概述(僅限英文)。
請參考此內容。
[術語]
端對端加密(E2EE)
這項技術僅在通訊的發送方和接收方之間對資料進行加密和解密,使第三方無法讀取內容。
中間人攻擊
一種攻擊方法,其中第三方介入通訊過程,竊聽或篡改資訊。
重播攻擊<br>一種攻擊,其中先前發送的資料被重新發送並被認證為合法通訊。
[參考連結]
LINE官方(外部)
LINE官方網站,LINE是日本及其他亞洲國家廣泛使用的通訊應用程式。了解最新功能和安全資訊。
奧胡斯大學(外部)
這是進行這項研究的研究人員所屬的丹麥大學的官方網站。該大學在包括密碼學研究在內的眾多工程領域擁有世界領先的成就。
黑帽歐洲(外部)
這是歐洲會議的官方網站,該會議以其安全特性而聞名全球。網站包含有關漏洞和攻擊案例的資訊。
[參考文章]
丹麥在打擊量子攻擊方面處於領先地位(外部報告)
介紹丹麥密碼學和量子安全研究的最新趨勢以及在歐洲的應用實例。
自行建立加密的風險(外部連結)
解釋了獨特的加密設計帶來的結構和技術安全風險,並解釋了也適用於 LINE 案例的普遍危險。
什麼是網路加密? (外部連結)
本書概述了每種協定的加密方法,並提供瞭如何在商業環境中實現安全通訊的資訊。
[編者註]
我相信,讀完這篇文章後,你不僅會意識到LINE有多方便,還會意識到科技對我們的日常生活有多重要。
安全主題可能有點令人生畏,但為了保護您自己和您所愛之人的資訊安全,不妨檢查一下應用程式設置,並關註一下新技術及其帶來的風險。讓我們藉此機會,共同思考我們身邊常用的數位工具的安全問題。
