Mailsploit, la truffa arriva sempre via e-mail

Una serie di bug scovati nei client di posta più popolari permette di camuffare l'indirizzo del mittente o di condurre attacchi XSS. Un problema "storico", che le aziende hanno deciso di gestire in maniera diversa l'una dall'altra
Una serie di bug scovati nei client di posta più popolari permette di camuffare l'indirizzo del mittente o di condurre attacchi XSS. Un problema "storico", che le aziende hanno deciso di gestire in maniera diversa l'una dall'altra

La posta elettronica è sempre a rischio spoofing , e l’ultima serie di problemi individuata da Sabri Haddouche rende l’utilizzo della tecnica di truffa più popolare ancora più facile e accessibile. I bug sono stati classificati sotto il termine ombrello Mailsploit , riguardano decine di applicazioni e permettono a un malintenzionato di bypassare i sistemi di sicurezza implementati lato server.

All’origine di Mailsploit c’è l’implementazione delle specifiche RFC 1342 , standard oramai storico che descrive la “rappresentazione del testo non-ASCII negli header dei messaggi di rete” e che nel caso dei client e-mail vulnerabili non viene usato correttamente nella correzione delle stringhe non-ASCII dopo la decodifica.

In sostanza, un truffatore può camuffare l’indirizzo reale del mittente e impersonare chiunque – il presidente degli Stati Uniti nell’esempio di Haddouche – usando una stringa appossita, mentre i server MTA (Mail Transfer Agent) come Exim non identificano la mail come spam e la trasferiscono alla mailbox dell’utente.

Secondo i test del ricercatore, più di 30 diverse applicazioni di posta sono suscettibili ai bug di Mailsploit inclusi Apple Mail (su iOS, macOS o anche watchOS), Mozilla Thunderbird, “diversi” client Microsoft, Yahoo! Mail, ProtonMail e molti altri.

A peggiorare ulteriormente la situazione c’è la possibilità di sfruttare i bachi per veri e propri attacchi cross-site-scripting (XSS) o di code injection , mentre la reazione delle aziende coinvolte non è stata esattamente unanime: c’è chi si è messo al lavoro su una patch, chi (Mozilla, Opera) ha parlato di un bug lato-server – quindi non risolvibile sul client – e chi ha semplicemente chiuso il ticket di supporto senza nemmeno rispondere (Mailbird).

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

07 12 2017
Link copiato negli appunti