Android用の「spモードメール」アプリに脆弱性

あるAnonymous Coward 曰く、　NTTドコモが提供するAndroid用の「spモードメール」アプリに脆弱性が発見された(JVN#82029095、INTERNET Watchの記事)。

発見された脆弱性はSSLサーバー証明書の検証不備により、不正なSSLサーバー証明書を使用するサーバーに警告なしで接続してしまうというもの。これにより、第三者に通信内容が傍受される可能性があるという。脆弱性の影響を受けるのはバージョン5400およびそれ以前のバージョンで、最新版では修正されている。

　なお、この脆弱性が修正された最初のバージョン(5500)では端末の再起動後にWiFi接続でメールを送受信できない場合があるとのことで、現在は問題を修正したバージョン5550が公開されている。ただし、Google Playのユーザーレビューでは、バージョン5550でもメールの送受信ができないといった報告がみられる。

　スラッシュドットのコメントを読む | ITセクション | セキュリティ | NTT | バグ | Android

　関連ストーリー：
新年早々、spモードメールが利用しづらい状況に 2012年01月03日
spモードメールで他人が送信者として設定される。最大10万人に影響 2011年12月23日
オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される 2011年09月01日
クラックされた認証局から偽のSSL証明書が発行される 2011年03月24日
ドコモのスマートフォン向けサービス「spモード」でメール遅延などが発生 2011年02月09日
ドコモ、スマートフォンでiモードメールを使えるISP「spモード」を開発 2010年07月16日
SSL証明書、正しく設定されているのはたった3% 2010年07月01日
ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視 2009年07月28日