「spモードメール」アプリに脆弱性、SSLサーバー証明書の検証不備

 独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は26日、NTTドコモが提供する「spモードメールアプリ」に関する脆弱性情報を公開した。

 影響を受けるアプリは、Android向けspモードアプリのバージョン5400およびそれ以前。該当バージョンのアプリには、SSLサーバー証明書の検証不備の脆弱性が存在し、不正なSSLサーバー証明書を使用しているサーバーであっても警告を出さずに接続してしまうため、ユーザーに気付かれずに第三者によって内容を傍受される可能性がある。

 脆弱性は最新版のアプリでは修正されており、IPAとJPCERT/CCでは最新版へのアップデートを推奨している。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120426_529555.html