去年の暮れにIPAに報告したspモードメールアプリの脆弱性が修正されました。
- JVNDB-2012-000037 spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性
- JVN#82029095 spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性
JVN iPediaより
この図だと、ユーザーの明示的な操作によってメールの送受信を行なっているように見えるけど、忘れてはいけないのはSPモードメールはプッシュ通知されると言うこと。
攻撃者が、対象ユーザーのメールアドレスを知っている場合、対象ユーザーに空メールやSPAMメールでも送りつければ、それだけで認証情報を奪われてしまう危険性がありました。
認証情報というのはESMTPS/POPSプロトコル上にBASE64(’\0’ + ユーザー名 + ‘\0’ + パスワード) という形式で流れていて、このパスワードを奪われれると、いつでも対象者のメールを盗み見れるし、対象者になりすましてメールを送ることが出来てしまいます。
これほど明白な脆弱性であっても、ベンダーに直してもらうのはなかなか大変。 脆弱性では無いと言い張られたり、お客様の意見として前向きに検討しますとかって逃げられる事はよくあります。
当初はtwitterで少し煽ってドコモに報告すれば、さっさと直して貰えるかなとも思ったけれど、「公共の無線LANでメールを盗聴されるのは仕方がない。」だとか、「ユーザー自身が注意して使うべきだ。」などと言い出す人たちが現れ始めてウンザリしたのでやめた。
IPAとのメールのやりとりは4,5回程度、途中再試が必要になったりもしたけど非常にスムーズに進行した。 報告から修正まで4ヶ月かかったけどこれはドコモの対応が遅かったのだろう。脆弱性を見つけたらIPAに届け出るという方法なら煽り力無くても出来るし、ベンダーと無駄なバトルをしなくて済むのでお手軽ですね。