Androidニュース&アプリ情報メディア

ドコモのspモードメール・アプリに脆弱性発覚。Javaメソッドの不正実行、メール本文、添付ファイルの不正取得など

NTTドコモ(以下、ドコモ)が提供するAndroid向けメールアプリ「spモードメール」アプリに3件の脆弱性があることが明らかになっている。JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営するJVN(Japan Vulnerability Notes)で公開された。

公開された脆弱性3件のうち1件は最新のアプリでは既に対策済みだ。

それはデコメ絵文字POPの処理の問題で、spモードメールアプリの権限によって任意のJavaメソッドが実行されてしまう可能性があるというもので、Android 4.0.x及びそれ以前のOS向けのspモードメール rev.6400、Android 4.1及びそれ以降のOS向けのspモードメール rev.6700では対策されている。

2件目は不正なアプリがインストールされている場合、spモードメールで受信したメールに添付されている添付ファイルを不正に取得されてしまう可能性があるというもの。この件に関する修正アップデートはまだ行われていないが、注意喚起文は利用許諾に追記されている。

3件目は不正なアプリがインストールされている場合、作成中のメールの内容を取得される可能性がある、というもの。spモードメールアプリには外部アプリとの間で作成中のメールデータの受け渡しを行うためのアプリ連携インターフェースが実装されているが、連携するアプリを選択した時点で受け渡されるメール本文と添付ファイルがSDカードに保存されるため、他のアプリからも読み取ることができてしまう、ということだ。

この件も修正アップデートは提供されていないが、やはり注意喚起の文が利用許諾等に表示されている。

なお、ドコモはspモードメールアプリに代わる新しいクラウドメールサービス「ドコモメール」を昨秋から提供している。ドコモメール対応スマートフォンの利用者は基本的にはドコモメールへ移行する方が無難だろう。使い勝手自体、spモードメールアプリよりもドコモメールの方が上だからだ。

【情報元、参考リンク】
spモードメールにおいて Java メソッドが実行される脆弱性
spモードメールにおける受信メールの添付ファイルへのアクセスに関する問題
spモードメールで作成中のメールへのアクセスに関する問題

読者&編集部コメント欄

この記事のコメント:0 件