Mailsploit, la truffa arriva sempre via e-mail

Una serie di bug scovati nei client di posta più popolari permette di camuffare l'indirizzo del mittente o di condurre attacchi XSS. Un problema "storico", che le aziende hanno deciso di gestire in maniera diversa l'una dall'altra

Roma – La posta elettronica è sempre a rischio spoofing , e l’ultima serie di problemi individuata da Sabri Haddouche rende l’utilizzo della tecnica di truffa più popolare ancora più facile e accessibile. I bug sono stati classificati sotto il termine ombrello Mailsploit , riguardano decine di applicazioni e permettono a un malintenzionato di bypassare i sistemi di sicurezza implementati lato server.

All’origine di Mailsploit c’è l’implementazione delle specifiche RFC 1342 , standard oramai storico che descrive la “rappresentazione del testo non-ASCII negli header dei messaggi di rete” e che nel caso dei client e-mail vulnerabili non viene usato correttamente nella correzione delle stringhe non-ASCII dopo la decodifica.

In sostanza, un truffatore può camuffare l’indirizzo reale del mittente e impersonare chiunque – il presidente degli Stati Uniti nell’esempio di Haddouche – usando una stringa appossita, mentre i server MTA (Mail Transfer Agent) come Exim non identificano la mail come spam e la trasferiscono alla mailbox dell’utente.

Secondo i test del ricercatore, più di 30 diverse applicazioni di posta sono suscettibili ai bug di Mailsploit inclusi Apple Mail (su iOS, macOS o anche watchOS), Mozilla Thunderbird, “diversi” client Microsoft, Yahoo! Mail, ProtonMail e molti altri.

A peggiorare ulteriormente la situazione c’è la possibilità di sfruttare i bachi per veri e propri attacchi cross-site-scripting (XSS) o di code injection , mentre la reazione delle aziende coinvolte non è stata esattamente unanime: c’è chi si è messo al lavoro su una patch, chi (Mozilla, Opera) ha parlato di un bug lato-server – quindi non risolvibile sul client – e chi ha semplicemente chiuso il ticket di supporto senza nemmeno rispondere (Mailbird).

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti