メッセージアプリ「+メッセージ」に脆弱性、暗号通信盗聴の恐れ
情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は、携帯大手3キャリアが合同で提供するメッセージアプリ「+メッセージ」に関する脆弱性を指摘した。LINEのma.la氏からの報告により発覚したという。
指摘された脆弱性の内容は、SSLサーバ証明書の検証不備。一般的な処理では、SSLサーバ証明書の正当性が検証できない場合は警告を出すことになっているが、「+メッセージ」では不正なSSLサーバ証明書であっても警告を出さずに接続してしまうとのこと。
この問題により、中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行われる可能性があるとしている。
脆弱性は、「+メッセージ」アプリの旧バージョンで確認されており、3キャリア各社は最新版へアップデートするよう促している。