Mac用メールクライアントアプリ「Airmail 3」でセキュリティ上の脆弱性が発見され、悪意のある第三者にメールが読まれる恐れがあることが判明した。これを受け、開発元のBloopが同脆弱性を修正する最新アップデートを公開している。

この脆弱性を発見したのは、セキュリティコンサルティング会社のVersprite。同社の研究者によると、ハッカーから届いたメールに記載されているURLをクリックすることで、これまでに受信したメールや添付ファイルが流出する脆弱性があるとのこと。

詳しく説明すると、Airmail 3には特定のコンテンツと添付ファイルを含むメールを自発的に送信できるカスタムURLスキームが登録されているという。また、Airmail 3が受信したメールを格納するデータベースがファイルシステムの確定的な場所に配置されていることも問題となっており、これら2つの問題により、ユーザーがクリックするだけでメールと添付ファイルをハッカーに送信するようなURLを作成することができてしまうとのこと。

この脆弱性を利用するには、まずはハッカーが攻撃しようとしているユーザーがAirmail 3を使っていることを把握する必要があり、さらに送ったメールの中にあるURLをユーザーがクリックする必要がある。

つまり、よく言われている「不審なメールの中にあるURLをむやみに開かない」ことを実践していれさえすれば防げる問題ではあるのだが、ハッカーがURLを開くようにうまく文章で誘導する可能性もある。危険極まりない脆弱性であることは間違いないだろう。

この報告を受け、開発元のBloopは問題を修正する最新アップデート「バージョン3.6」を配信している。「Airmail 3」を利用している方は、まずはアップデートを適用するようにしよう。

Airmail 3
Bloop S.R.L.
価格： 1,200円
posted with sticky on 2018.8.23

[ via 9to5Mac ]