MacやiOSのメールアプリを含む複数のメールクライアントで送信者を偽装することが出来る「Mailsploit」脆弱性が発見される。

Apple-Mail-logo-icon-f61143e1d97d3a9a00aa8b6c33a651f18d03cb89

 MacやiOSのメールアプリを含む、複数のメールクライアントで送信者を偽装することが出来る「Mailsploit」脆弱性が発見されているそうです。詳細は以下から。

 The Registerなどによると、MacやiOSのApple製メールアプリを含む複数のメールクライアントで既存の送信ドメイン認証技術DMARC(DKIM/SPF)やスパムメールフィルターを欺き、送信者を偽装することが出来る「Mailsploit」という脆弱性が発見されたそうです。

TL;DR: Mailsploit is a collection of bugs in email clients that allow effective sender spoofing and code injection attacks. The spoofing is not detected by Mail Transfer Agents (MTA) aka email servers, therefore circumventing spoofing protection mechanisms such as DMARC (DKIM/SPF) or spam filters.

Bugs were found in over 30 applications, including prominent ones like Apple Mail (macOS, iOS and watchOS), Mozilla Thunderbird, various Microsoft email clients, Yahoo! Mail, ProtonMail and others.

Mailsploit – Mailsploit

 発見者のSabri Haddoucheさんが公開したWebページによると、この問題は25年前(1992年)に公開されたRFC 1342を利用したトリックで、非ASCII文字をメールのヘッダーに入れることでメールクライアントにそれ以降の文字列の処理を無効にすることが出来るそうで、

The trick resides in using RFC-1342 (from 1992!), a recommendation that provides a way to encode non-ASCII chars inside email headers in a such way that it won’t confuse the MTAs processing the email.
Unfortunately, most email clients and web interfaces don’t properly sanitize the string after decoding which leads to this email spoofing attack.
Here is what it looks like:

  • =?utf-8?b?[BASE-64]?=
  • =?utf-8?Q?[QUOTED-PRINTABLE]?=

Mailsploit – Mailsploit

実際にこの脆弱性を利用し、ホワイトハウスのドメインを利用し大統領になりすましたメールがiOSのメールアプリで受信される様子が映っており、Mac用メールクライアント「AirMail」や「Spark」ではXSSやコードインジェクションも確認されてたそうです。

スポンサーリンク

Mailsploitの影響を受けるクライアント

 Mailsploitの影響を受けるのはAppleのメールアプリだけでなく、Mozilla Thunderbird、Microsoft Outlook、Yahoo! Mail for iOS、Spark for iOS、 AirMailなど30を超え、

Mailsploitの影響を受けるアプリ

Haddoucheさんは3ヶ月前にこの問題をベンダー側に報告しているため今後のアップデートで修正されると思われますが、同時にこの影響を受けるアプリやWebサービスの一覧を公開し注意を呼びかけ、アップデートされるまでは他のメッセージサービスを利用するかPGP/GPGを利用してメールを暗号化することを勧めています。

  • このエントリーをはてなブックマークに追加

関連記事

話題をチェック

  1. 600x601x20170822nana.jpg.pagespeed.ic.u5ed1iTQeL-e5b3de5c391c8e3805df72a8cdb3da051ece71fa

    ANA、機内食総選挙2017の結果発表 和食は牛すきやき丼、洋食はビーフシチューとオムライス

    Sponsored link  機上ӗ…
  2. MIT-Instant-Retouch-TA-12db540ca97a6020f2db78ca5b27647ac89d2f28

    機械学習を用いれば、写真が「撮影する前」からプロ仕様の美しさに──グーグルとMITがアルゴリズムを開発

    NEWS 2017.08.22 TUE 08:00マサチ&…
  3. GettyImages-496380034-e1503241697905-b18cea347ee2933a806af5a4adfa2f3d9569add1

    「世界共通のインターネット」を巡る、グーグルとカナダ最高裁との闘い

    NEWS 2017.08.21 MON 07:00カナダ&…
ページ上部へ戻る