La posta elettronica è sempre a rischio spoofing , e l’ultima serie di problemi individuata da Sabri Haddouche rende l’utilizzo della tecnica di truffa più popolare ancora più facile e accessibile. I bug sono stati classificati sotto il termine ombrello Mailsploit , riguardano decine di applicazioni e permettono a un malintenzionato di bypassare i sistemi di sicurezza implementati lato server.
All’origine di Mailsploit c’è l’implementazione delle specifiche RFC 1342 , standard oramai storico che descrive la “rappresentazione del testo non-ASCII negli header dei messaggi di rete” e che nel caso dei client e-mail vulnerabili non viene usato correttamente nella correzione delle stringhe non-ASCII dopo la decodifica.
In sostanza, un truffatore può camuffare l’indirizzo reale del mittente e impersonare chiunque – il presidente degli Stati Uniti nell’esempio di Haddouche – usando una stringa appossita, mentre i server MTA (Mail Transfer Agent) come Exim non identificano la mail come spam e la trasferiscono alla mailbox dell’utente.
Secondo i test del ricercatore, più di 30 diverse applicazioni di posta sono suscettibili ai bug di Mailsploit inclusi Apple Mail (su iOS, macOS o anche watchOS), Mozilla Thunderbird, “diversi” client Microsoft, Yahoo! Mail, ProtonMail e molti altri.
A peggiorare ulteriormente la situazione c’è la possibilità di sfruttare i bachi per veri e propri attacchi cross-site-scripting (XSS) o di code injection , mentre la reazione delle aziende coinvolte non è stata esattamente unanime: c’è chi si è messo al lavoro su una patch, chi (Mozilla, Opera) ha parlato di un bug lato-server – quindi non risolvibile sul client – e chi ha semplicemente chiuso il ticket di supporto senza nemmeno rispondere (Mailbird).
Alfonso Maruccia
Ti potrebbe interessare
7 dic 2017