Mailboxアプリにセキュリティホール発見! しかし即修正

Mailboxアプリにセキュリティホール発見! しかし即修正 1

サクッと。

人気メールアプリのMailbox、DropboxとくっついてますますうれしいMailboxですが、大きなセキュリティホールが発見されました。それは、悪意のメールを受け取ると、デバイスを乗っ取られてしまう可能性のあるものです。フィッシングメールであれば、どこかのWebサイトに連れていかれて入力させられそうになって、途中で「あれ? なんかおかしくない?」と思える隙がありますが、今回発見されたのは、メールを開くだけで危険というものだったんです。

でも幸い、Mailboxの超速対応によって現在この問題は修正されています。

このセキュリティホールを発見したのは、イタリアのセキュリティブロガー、ミシェル・スパヌオーロ氏でした。彼はMailboxがHTMLメールに埋め込まれたJavascriptをどんなものでも実行してしまうことに気づいたんです。こちらの動画を見ると、受信したメールを開くだけで、FacebookやSMSといった別のアプリを次々と開いているのがわかります。動画で開いているアプリはおとなしいものですが、悪意のコードが埋め込まれたメールを使って、大事な個人情報を引き出されることもありうる状態でした。

でもMailboxは、現地時間24日夜にこの情報を受け取り、25日中には対応してしまいました。以下は彼らのブログでの報告です。

昨夜、あるセキュリティブロガーから、MailboxでHTMLメール内のJavascriptが実行される問題についてご指摘がありました。多くの方がコメントしているように、Mailbox内でJavascriptを実行しても、そのリスクはiOSの設計上非常に限られたものです。

が、今日我々は、メールが送られる前にメッセージからJavascriptを削除する処理を加えました。この機能はMailboxサーバ上ですでに有効になっていて、新規のメールをフィルタリングしています。我々はiOS以外のプラットフォームに向けても開発を進めており、そこではJavascriptの脆弱性が大きな問題です。なので今回の対応は非常に重要でした。

アプリがメール処理をサクサクさせてくれるだけあって、セキュリティホールへの対応もサクっとしてくれましたね。

Michele Spagnuolo via Ars Technica

Robert Sorokanich(原文/miho)