IPAセキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は7月30日、Outlook.comのAndroidアプリにSSLサーバ証明書の検証不備の脆弱性があることをJVN(Japan Vulnerability Notes)で公表した。

JVN#72950786「Android版Outlook.comにおけるSSLサーバ証明書の検証不備の脆弱性」

この脆弱性により、中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行われるおそれがある。

影響を受けるバージョンは、Android版Outlook.com 7.8.2.12.49.7090より前のバージョン。

本稿執筆時点で、Google Playでダウンロード可能な最新のAndroidアプリは7月28日に更新されたもの。バージョンは7.8.2.12.49.7564であるため、今回公表された脆弱性は修正されている。

Outlook.comのAndroidアプリの画面

この脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき、高橋恒樹氏がIPAに報告したもの。