LINEというかLINE非公式Bot界隈ですかね...
1. メッセージ下にアイコンと文字を表示する フッターメッセージという手法が見つかる
いつからあったのかはわからないけど いつの間にかGithubで様々なソースに使われるようになったもの。とても便利。昔々のリンク型メッセージかと思っていたけど どうやらLINE@に関連して使われているものらしい。 どこで使われてたんだっけ?
[方法]
APIでメッセージを送るときに contentMetadataに 'AGENT_NAME' 'AGENT_LINK' 'AGENT_ICON' それぞれリンク名 リンク先アドレス アイコンアドレスを指定するだけ。なお対策されて contentMetadataに付けるだけでは使用できなくなりました。 対策しなくても誰も迷惑しないのに!
2. 公式アカウント(LINE@) を用いた グループ荒らしBotがデビュー
Team Elite Bot というアカウント名のインドネシアのBotが グループリンクから参加し、荒らしている光景が スクリーンショットに取られTwitterで公開される。これはマジでビビった...[方法]
LINE@ の Webから 1対1トークを開き Fiddlerで横から内容を見る。すると lineauthToken という いかにもな名称の通信が見えるのでそれを覗くとあら不思議。なんとそこには通常のLINEアカウントと変わらない ログイン要求が...そしてこれを見ながら 某APIの設定を変えてトークンを使えば普通にログインできて一般アカウントと同様に扱えてしまう。 しかしLINE@は通常のアカウントではないのでありとあらゆるものに規制がなく グループからの追い出しの回数にも制限がなかったため荒らし行為ができてしまった。それでいいのかLINE運営よ。なお、のちにグループの作成はできないように対策されました(なぜそれだけ)3. midから相手に強制的に友達追加させる手法が見つかる
誰がはじめたのかは知らんが 公式アカウントが 突如 うちのアカウントや 様々な人に友達登録して "友達登録ありがとう!" といった 明らかに悪意のあるメッセージを送り付けてくるようになる。 あくまでも自分から友達登録したという扱いになるため 友達外からのメッセージ拒否もきかず 一日に5つも強制登録される 公式アカウントに笑うしかなかった。
なお、この後に オバマbotという Happy birthday to me! というわけのわからないメッセージを送る 公式アカウントが出たようだが これは それよりも1週間ほど前のこと。国内で話題になるまで動かないのか LINE運営よ。
[方法]
某APIに 明らかにそれらしき メソッドが実装されていた。makeUserAddMyselfAsContactである。これを一般アカウントから実行すると Buddy または official account のみ 使用できると返ってくる。 そう、 OfficialAccountなら使えるのである。 ↑の手法と組み合わせてしまえば 友達登録を強制的に行うことが可能だった。人によっては 人の投稿のいいねから midを取り、さらにそのmidのユーザーの投稿からいいねを取り というのを 繰り返し30万人分もの midを入手し 友達登録したユーザーも居た。 当たり前ですがもう使えません。(これはもっと早く対応してほしかった。)
4. 一般アカウントが テンプレートメッセージや フレックスメッセージを送るようになる
ある台湾人さんが 通信内容を解析した結果見つけた手法である。あるアプリ内アプリが送る送信要求に似せた送信要求を投げることで テンプレートメッセージやフレックスメッセージが送れてしまうのである。URL以外(postback,message)を使うことができないという欠点はあったが見た目が工夫できるというのはとても画期的なものであった。これは今や様々な非公式Botで使われておりトークルームがかなり賑やかなものとなった。ただ、これは あくまでもアプリ内アプリがあるからできていることで、いつかは修正される可能性がある...
[方法]
Github is our friend.
5. テンプレート/フレックスメッセージをタップでメッセージを送れるようになる
ある日本人が公式APIに興味を持ち、Qiitaで調べていたところ偶然見つけたアイデアである。これは革命となり 解析の本場のインドネシアで更なる研究がされ、これを応用したクソデカLINEスタンプといった、様々な利用用途が発明された。ちなみに発見したのはぼくです。
[方法]
LIFFアプリです。LIFFアプリは LINEトークルーム内で開ける Webアプリでユーザーの代わりにメッセージを送ることができるものです。そう、ユーザーの代わりに送れてしまうんです。LIFFアプリはURLパラメータを取ることができます。これらを利用して任意の文字をユーザーの代わりに送信する LIFFアプリを作成し公表することで様々な非公式Botで使われるようになりました。
6. 公式アカウントを使い、無限にいいね/コメント する手法が見つかる
ある日本人がLINE@クライアントの通信内容を解析した結果、アカウント登録と削除の手法を発見した。これを使い無限にいいねをする。ただしLINE@アカウントの個数は10個までと定められている。よって アカウント登録→ いいね/コメント → アカウント削除を繰り返すことでこのようなことができる。
[方法]
Github is very good at search method.
7. ユーザー名とユーザープロフィール画像を偽装する手法が見つかる
[方法]
(DMで直接聞いてください)
(8. グループに参加していなくても 既読を付けられる)
これは昔からの仕様なのかもしれないですがグループに参加していなくても
グループIDとメッセージIDさえわかれば cl.sendChatChecked() で 既読が付けられるみたいです。 それちょっと怖くない??
グループIDとメッセージIDさえわかれば cl.sendChatChecked() で 既読が付けられるみたいです。 それちょっと怖くない??
(9. グループにカバー画像が追加される)
最新のアップデートでグループにカバー画像が追加されました。これでグループに更なる特色が出せてとても便利なんです...が。なんとこれ一切通知が出ない。誰がいつ変えたのか全くわからない。内部的には情報が送られてきてて見えてないだけだろーとか思ったが本当に送られてきてない。 それはまずくない??
今のところここまで。 今後アプデでどんな機能が追加されるのか。
今後どんな大問題をやらかすのか 楽しみです...w
今後どんな大問題をやらかすのか 楽しみです...w
