情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は7月30日、メーラーやスケジュール管理機能などを備えたAndroid向けアプリ「Outlook.com」に脆弱性が見つかったことを公表し、ユーザーに注意を呼びかけた。
発見された脆弱性は、SSLサーバー証明書の検証に関するもの。検証処理に不備があり、SSL/TLSで接続する先のWebサーバーから不正なSSLサーバー証明書が返ってきても、Outlook.comアプリが警告を出さずに接続してしまうという(図)。
例えば、悪意のある第三者が罠となる無線LANアクセスポイントを設置して、攻撃用Webサーバーに強制的に誘導することなどにより、中間者(MITM、man-in-the-middle)攻撃が成立し、暗号通信の盗聴などの被害を受ける危険がある。
脆弱性を持つのは「7.8.2.12.49.7090」より前のバージョン。該当するユーザーは、Google Play経由で最新バージョンにアップデートすることで、脆弱性をふさぐことが可能だ。攻撃成立のための前提条件が複雑なため、ユーザー全てが直ちに危険な状態に陥ることはないが、特に無料の公衆無線LANサービスをよく使うユーザーなどはリスクが高いので、早めにアップデートすることを勧める。