11/12/26 03:23:10.02 LZ0Ar89D
twitterで話題になっているようにspモードメールはセキュリティ上重大な欠陥があるみたいですね。
以前このスレでspモードメールを公式アプリでなくても送信できることを実証する
アプリが貼られたが、依然としてこのアプリでメールを送信できてしまう。
つまり、spモードメールを勝手に送信するマルウェアが依然として作成可能ということである。
また、spモードに接続している端末のテザリング経由でネットにつながっている端末から
勝手にspモードメールを送信できるということも判明している。
上で述べたアプリをテザリング経由で接続している端末に入れて
メールが送信できることからもそのことはわかる。
テザリングを利用する端末(iPhoneやPCなどあらゆるwifi機器)のどれか1つにでもマルウェアが入っていたら終わりである。
またマルウェアでなくても、例えば友人のspモード端末でテザリングをさせてもらえれば
その友人のアカウントで自由にメールを送受信できてしまう。バレたら友情崩壊+逮捕である。
さらには、wifi経由でのメールの送信内容が盗聴できるということも判明している。
最後に挙げたものはSSL通信時の証明書のチェックをきちんと行なっていない
ということが原因なのですぐに修正されるだろう。
2点目のものは、APとなっている端末のIMEIをテザリング経由でネットに接続
している端末からは知ることができないので、IMEIのチェックを入れるようにすれば
解決する。これも修正にはそれほど時間はかからないだろう。
しかし、1点目の問題はspモードメールの仕様の欠陥であり
修正にはかなり時間が要するであろう。
以上、ここ数日twitterを観察した結果をまとめてみました。
間違いがありましたらご指摘お願いします。