Alfonso Maruccia

Mailsploit, la truffa arriva sempre via e-mail

Una serie di bug scovati nei client di posta più popolari permette di camuffare l'indirizzo del mittente o di condurre attacchi XSS. Un problema "storico", che le aziende hanno deciso di gestire in maniera diversa l'una dall'altra

Roma - La posta elettronica è sempre a rischio spoofing, e l'ultima serie di problemi individuata da Sabri Haddouche rende l'utilizzo della tecnica di truffa più popolare ancora più facile e accessibile. I bug sono stati classificati sotto il termine ombrello Mailsploit, riguardano decine di applicazioni e permettono a un malintenzionato di bypassare i sistemi di sicurezza implementati lato server.

All'origine di Mailsploit c'è l'implementazione delle specifiche RFC 1342, standard oramai storico che descrive la "rappresentazione del testo non-ASCII negli header dei messaggi di rete" e che nel caso dei client e-mail vulnerabili non viene usato correttamente nella correzione delle stringhe non-ASCII dopo la decodifica.


In sostanza, un truffatore può camuffare l'indirizzo reale del mittente e impersonare chiunque - il presidente degli Stati Uniti nell'esempio di Haddouche - usando una stringa appossita, mentre i server MTA (Mail Transfer Agent) come Exim non identificano la mail come spam e la trasferiscono alla mailbox dell'utente.
Secondo i test del ricercatore, più di 30 diverse applicazioni di posta sono suscettibili ai bug di Mailsploit inclusi Apple Mail (su iOS, macOS o anche watchOS), Mozilla Thunderbird, "diversi" client Microsoft, Yahoo! Mail, ProtonMail e molti altri.

A peggiorare ulteriormente la situazione c'è la possibilità di sfruttare i bachi per veri e propri attacchi cross-site-scripting (XSS) o di code injection, mentre la reazione delle aziende coinvolte non è stata esattamente unanime: c'è chi si è messo al lavoro su una patch, chi (Mozilla, Opera) ha parlato di un bug lato-server - quindi non risolvibile sul client - e chi ha semplicemente chiuso il ticket di supporto senza nemmeno rispondere (Mailbird).

Alfonso Maruccia
Notizie collegate
  • SicurezzaExim, vulnerabili i server emailIndividuate due pericolose vulnerabilità nel software per server email più usato al mondo. Una delle falle può portare all'esecuzione di codice da remoto, mentre gli sviluppatori promettono una patch che ancora latita
16 Commenti alla Notizia Mailsploit, la truffa arriva sempre via e-mail
Ordina
  • Mi ricordo quando all'inizio del 2000 partecipavo e diffondevo il fiocco..

    https://it.wikipedia.org/wiki/Campagna_del_nastro_...

    ma la campagna fu fallimentare. Ricordo le ore passate a spiegare il quoting nelle email. Tutto tempo buttato...

    La gente se si accorge che sta imparando qualcosa di nuovo si chiude a riccio abbracciando la propria ignoranza come un tossico abbraccia la siringa.
    non+autenticato
  • Questo problema è dovuto alla proliferazione dei scripting nel mondo web,
    tutto questo si risvarebe limitando l'uso del javascript.
    non+autenticato
  • Bubba e il Panda non capiscono niente io uso le schede perforate sull'Univac che mi fanno sentire un vero uomo
    non+autenticato
  • - Scritto da: vero uomo
    > Bubba e il Panda non capiscono niente io uso le
    > schede perforate sull'Univac che mi fanno
    > sentire un vero
    > uomo
    non ho problemi.. se ti piace farti perforare, fallo pure. non ho niente contro i gheiSorride
    non+autenticato
  • e poi io e panda saremmo radicali quando difendiamo l'US-ASCIICon la lingua fuori

    Nel body va bene metti la sbobba mimetype che ti pare, ma il cazzo di header cosi sapientemente formulata anche nel moderno rfc2822 non lo puoi tenere nel lindo e pinto us-ascii stampabile??
    se nell header ci scrivi in klingon, cinese, dieresi e cagate varie viene bounced e riscrivi il from: da cristiano, tanto sempliceCon la lingua fuori

    questo inutile rfc1342 me lo segnoCon la lingua fuori, lo metto nel calderone dei IDN homograph attack , Homoglyph attack, punycode attack ecc.
    non+autenticato
  • puro come nessun altro, l'angelo dell'ascii, cosi' le sacre scritture parlano di Bubba
    non+autenticato
  • - Scritto da: evangelizza tore
    > puro come nessun altro, l'angelo dell'ascii,
    > cosi' le sacre scritture parlano di
    > Bubba
    altro che! Ho anche cambiato la tastiera del notebook per non incappare nelle oscene vocali accentateSorride
    non+autenticato
  • E pensa che abbiamo pure uno standard europeo internazionale, ignoto ai più...
    non+autenticato
  • - Scritto da: bubba
    > e poi io e panda saremmo radicali quando
    > difendiamo l'US-ASCII
    >Con la lingua fuori
    >

    Facile parlare da un paese che usa normalmente i caratteri latini. Peccato che siamo la minoranza (cinesi. indiani, giapponesi, slavi, persiani, arabi etc. sono tanti)

    > Nel body va bene metti la sbobba mimetype che ti
    > pare, ma il cazzo di header cosi sapientemente
    > formulata anche nel moderno rfc2822 non lo puoi
    > tenere nel lindo e pinto us-ascii stampabile??
    >
    > se nell header ci scrivi in klingon, cinese,
    > dieresi e cagate varie viene bounced e riscrivi
    > il from: da cristiano, tanto semplice

    Io sono ateo e i cristiani ufficialmente (contano pure me e tanti altri atei) sono poco più di un miliardo su 7 e passa.

    >
    > questo inutile rfc1342 me lo segnoCon la lingua fuori, lo metto
    > nel calderone dei IDN homograph attack ,
    > Homoglyph attack, punycode attack
    > ecc.
    non+autenticato
  • - Scritto da: 135be3591fb
    > - Scritto da: bubba
    > > e poi io e panda saremmo radicali quando
    > > difendiamo l'US-ASCII
    > >Con la lingua fuori
    > >
    >
    > Facile parlare da un paese che usa normalmente i
    > caratteri latini. Peccato che siamo la minoranza
    > (cinesi. indiani, giapponesi, slavi, persiani,
    > arabi etc. sono
    > tanti)
    >
    > > Nel body va bene metti la sbobba mimetype che ti
    > > pare, ma il cazzo di header cosi sapientemente
    > > formulata anche nel moderno rfc2822 non lo puoi
    > > tenere nel lindo e pinto us-ascii stampabile??
    > >
    > > se nell header ci scrivi in klingon, cinese,
    > > dieresi e cagate varie viene bounced e riscrivi
    > > il from: da cristiano, tanto semplice
    >
    > Io sono ateo e i cristiani ufficialmente (contano
    > pure me e tanti altri atei) sono poco più di un
    > miliardo su 7 e
    > passa.
    >
    > >
    > > questo inutile rfc1342 me lo segnoCon la lingua fuori, lo metto
    > > nel calderone dei IDN homograph attack ,
    > > Homoglyph attack, punycode attack
    > > ecc.

    e quindi?
    non+autenticato
  • - Scritto da: 135be3591fb
    > - Scritto da: bubba
    > > e poi io e panda saremmo radicali quando
    > > difendiamo l'US-ASCII
    > >Con la lingua fuori
    > >
    >
    > Facile parlare da un paese che usa normalmente i
    > caratteri latini. Peccato che siamo la minoranza
    > (cinesi. indiani, giapponesi, slavi, persiani,
    > arabi etc. sono
    > tanti)
    e cio li autorizzerebbe a pocciare sulle header? l'us-ascii e' sufficiente... se no perche' non fare direttamente tutte le RFC in lingua autoctona... basta con tutti questi HELO, FROM, DATA, OPTIONS ecc... tutto in swaili

    > > Nel body va bene metti la sbobba mimetype che ti
    > > pare, ma il cazzo di header cosi sapientemente
    > > formulata anche nel moderno rfc2822 non lo puoi
    > > tenere nel lindo e pinto us-ascii stampabile??
    > >
    > > se nell header ci scrivi in klingon, cinese,
    > > dieresi e cagate varie viene bounced e riscrivi
    > > il from: da cristiano, tanto semplice
    >
    > Io sono ateo e i cristiani ufficialmente (contano
    > pure me e tanti altri atei) sono poco più di un
    > miliardo su 7 e
    > passa.
    in effetti puo' darsi che l'autore fosse protestante o ebreo o ateo. Ma non cambia moltoSorride
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: 135be3591fb
    > > - Scritto da: bubba
    > > > e poi io e panda saremmo radicali quando
    > > > difendiamo l'US-ASCII
    > > >Con la lingua fuori
    > > >
    > >
    > > Facile parlare da un paese che usa normalmente i
    > > caratteri latini. Peccato che siamo la minoranza
    > > (cinesi. indiani, giapponesi, slavi, persiani,
    > > arabi etc. sono
    > > tanti)
    > e cio li autorizzerebbe a pocciare sulle header?
    > l'us-ascii e' sufficiente...

    Perchè non provi ad andare da cinesi e giapponesi a dirgli che le loro caselle email devono avere il nome in caratteri latini?

    > ... se no perche' non
    > fare direttamente tutte le RFC in lingua
    > autoctona... basta con tutti questi HELO, FROM,
    > DATA, OPTIONS ecc... tutto in swaili
    >

    Col tuo esempio hai fatto cilecca. Tra migliaia di lingue te ne sei scelta una che usa i caratteri latini. A bocca aperta
    non+autenticato
  • - Scritto da: 9b41d6ccd34
    > - Scritto da: bubba
    > > - Scritto da: 135be3591fb
    > > > - Scritto da: bubba
    > > > > e poi io e panda saremmo radicali
    > quando
    > > > > difendiamo l'US-ASCII
    > > > >Con la lingua fuori
    > > > >
    > > >
    > > > Facile parlare da un paese che usa
    > normalmente
    > i
    > > > caratteri latini. Peccato che siamo la
    > minoranza
    > > > (cinesi. indiani, giapponesi, slavi,
    > persiani,
    > > > arabi etc. sono
    > > > tanti)
    > > e cio li autorizzerebbe a pocciare sulle
    > header?
    > > l'us-ascii e' sufficiente...
    >
    > Perchè non provi ad andare da cinesi e giapponesi
    > a dirgli che le loro caselle email devono avere
    > il nome in caratteri
    > latini?
    e te pare strano? pescato primo sito cinese in cinese a caso... http://www.iresearch.cn/about/about_feedback.shtml mail yangkun@iresearch.com.cn
    Prima dei cinesi c'erano appunto i jappa.. che han firmato anche delle RFC... anzi il problema si e' posto anche prima di internet (sai che c'erano molti altri network vero.. che si inter/scambiavano posta)... pensi che allegassero una gif con lo screenshot della loro mail in ideogrammi?Sorride

    > > ... se no perche' non
    > > fare direttamente tutte le RFC in lingua
    > > autoctona... basta con tutti questi HELO,
    > FROM,
    > > DATA, OPTIONS ecc... tutto in swaili
    > >
    >
    > Col tuo esempio hai fatto cilecca. Tra migliaia
    > di lingue te ne sei scelta una che usa i
    > caratteri latini.
    >A bocca aperta
    latini ora "per colpa" degli anglofoniA bocca aperta cmq le keyword in swaili sarebbero diverse da quelle sopra.. praticamente klingonSorride
    Ma tra l'altro i cinesi o gli africani usano dei bit e una matematica binaria autoctoni o gli vanno bene quelli merigani?Sorride
    non+autenticato
  • Bubba mi hai fatto venire in mente il film Arrival (2016) con loro ascii non funziona

    Clicca per vedere le dimensioni originali

    interessante........... il mondo deve girare tutto intorno agli occidentali come se non esistessero 5 miliardi di altre persone e un centinaio di altri linguaggi, gli arabi scrivono da destra verso sinistra i giapponesi dall'alto verso il basso ma accidenti chissa' perche' si deve scrivere come dicono loro

    (anche io sono un occidentale)
    non+autenticato
  • Non ce ne frega un cazzo degli altri 5 miliardi. Internet è stata inventata dagli occidentali e come dal'est copiano gli occidentali in tutto che copino anche gli indirizzi email.
    non+autenticato