パスワードを忘れた? アカウント作成
12586042 story
バグ

Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ 30

ストーリー by hylom
なるほど 部門より
headless 曰く、

差出人の表示名に任意のメールアドレスを含むメールをAndroid版Gmailアプリで受信すると、そのメールアドレスが差出人のメールアドレスのように表示されてしまうバグが見つかっている(Yan Zhu氏のツイートMotherboardSoftpediaTechWorm)。

このバグは差出人が「名前 ""メールアドレス"」のような形式で表示名を設定している場合に再現する。メール一覧では二重引用符を含む差出人名が表示され、メッセージを開いた場合の表示も通常とは若干異なる。そのため、注意深く見れば気付くと思われるが、実際の差出人のメールアドレスはまったく表示されない。なお、古いバージョン(Android 2.3.x)のGmailアプリでは再現しなかった。

このような形式での表示名を設定できるかどうかはメールサービスによって異なるが、少なくともGmailのアカウント設定では可能となっている。一方、Outlook.comでは二重引用符を含む表示名を設定できないようだ。

SMTPサーバーを使用してメールを送信すれば任意のメールアドレスを差出人のメールアドレスに偽装することは可能だが、Gmailなどでは別のメールアドレスを使用する場合はそのメールアドレスに送信される確認コードの入力が必要となる。

しかし、この方法では確認を必要としないため、簡単に差出人を偽装できてしまうことになる。また、差出人のメールアドレスとして記載されているのは本物なので、DKIMやSPF、DMARCといった送信ドメイン認証技術による確認もすり抜けてしまう。

バグを発見したセキュリティ研究者のYan Zhu氏は10月末にGoogleに報告しているが、Googleからはセキュリティ脆弱性ではないとの回答があったとのこと。Android版Gmailアプリは16日にも更新されているが、このバグは修正されていない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年11月19日 11時29分 (#2920084)
    >Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられる

    それは良いことなのでは? と思ったわ
    • by Anonymous Coward

      Title:ニホンゴムズカ

      …ジィメイルだけにな

      ってやかましいわっ

  • by Anonymous Coward on 2015年11月19日 11時15分 (#2920071)

    そして、Googleに聞いたらまぎらわしいが問題はないって回答来たよ。

    • by Anonymous Coward

      自社製品の問題を認めるわけにはいかないしね

      • by Anonymous Coward

        いや、これはプロトコルの脆弱性だろ。
        SMTPのRFCに、二重引用符の禁止なんて規定はないと思うぞ。

        # つーかGoogleは比較的頻繁に、自社製品の脆弱性を認めている会社だと思うが……。

        • by Anonymous Coward

          >SMTPのRFCに、二重引用符の禁止なんて規定はないと思うぞ。
          そりゃそうだろうさ。そこはSMTP(RFC5321)の管轄じゃなく、
          Internet Message Format(RFC5322) の管轄で、そっちの方の違反だからな。

  • by Anonymous Coward on 2015年11月19日 11時31分 (#2920088)

    外部ドメインからのメールの差出欄には、メールアドレスも併記されるので、この問題はなさそうですね。

    GMailの仕様はバグではないですが、例えば標的方攻撃のスキームの一部として利用可能なのは確かなので、
    Outlookと同様の対応は欲しいところですね。

  • by Anonymous Coward on 2015年11月19日 11時38分 (#2920090)

    差出人なんて詐称し放題なんですが・・・
    差出人を見て判断するのは危険では

    EHLO AAAAAA
    MAIL FROM:
    RCPT TO:
    DATA
    .....
    From:

    の部分はSPFなどではじかれるけど
    の部分は偽装し放題なうえに
    SPFでもチェックされない部分で、かつ
    MUAで表示される差出人になるわけですし

    こんなものを信用してはだめでしょう
    タグくらいにとらえておいたほうがいいのでは・・・?

    • by Anonymous Coward

      ああ・・・一部削除されてる・・・
      SPFのチェックの対象となるのはenvelope-fromとHELOのあとのホストの部分なので
      メールヘッダは、そもそも偽装され放題ですよと・・・

      • by Anonymous Coward

        記事の本文くらい読めよ……。

        • by Anonymous Coward

          記事では、送信元とenvelopeの区別が付いていないでしょ
          元ACはそこを指摘してるよね

          分からないならコメントしないほうがいいよ

          • by Anonymous Coward on 2015年11月19日 17時23分 (#2920346)

            いやだから、

            > SMTPサーバーを使用してメールを送信すれば任意のメールアドレスを差出人のメールアドレスに偽装することは可能だが、Gmailなどでは別のメールアドレスを使用する場合はそのメールアドレスに送信される確認コードの入力が必要となる。

            >しかし、この方法では確認を必要としないため、簡単に差出人を偽装できてしまうことになる。また、差出人のメールアドレスとして記載されているのは本物なので、DKIMやSPF、DMARCといった送信ドメイン認証技術による確認もすり抜けてしまう。

            読んでる?
            ねえ、本当に記事本文読んでる?

            それとメールヘッダのFromもエンベロープのFromも偽装可能(というか自己申告)なのに、この話の流れで区別する意味あんの?

            親コメント
            • by Anonymous Coward

              要するにメールのFromは偽装し放題なわけですね。

            • by Anonymous Coward

              元ACだけど、この人理解して書いてないね…
              元々の文章があやまってるでしょーに

              差出人のメールアドレスはSPFと関係ないの
              RFC4408のsenderの定義でも読んでみれよ

            • by Anonymous Coward

              かたやSPFの対象でかたや、偽装し放題なのに、
              区別しないでどうするの?

              頭沸いてるの?

              • by Anonymous Coward

                DKIMの検証対象は、envelope from じゃなくて、メッセージヘッダの方ですよ。
                つまり、DKIMを通っていれば、メッセージヘッダのFrom:は正しい筈。
                それが偽装されるってのが問題。

                まあ、これはタレコミにSPFなんて書いてあるのも悪いんだけど。

              • by Anonymous Coward

                いえ別にそこは偽装されません。
                ただ単に、名前欄のメールアドレスを実メールアドレスと誤解しやすい形で表示されるケースが有るという外観上の脆弱性です。
                実行ファイルのアイコンをフォルダアイコンにしとくようなのと割と似た方向性の攻撃が可能ですよ、と。
                自称差出人名で終わらずに実メールアドレスをわかりやすく表示してれば簡単に回避可能なのでそれをやってほしいという要望。

    • by Anonymous Coward

      知的な人だけが使うものが
      一般普及したのなら

      痴的な人も使えるようにするか

      免許制にするか

      こまけぇこたぁ(ry

      にするしかないんですよねぇ

  • by Anonymous Coward on 2015年11月19日 11時57分 (#2920097)

    それならまあ仮に、一般的な「"名前" 」とか「メールアドレスオンリー」、「名前 」みたいな形式以外は違反ということにしようよ。
    「違反している表記方なので異なったメールアドレスが表示されているかもしれますん」と、メールを表示した際に警告を出すようにするとか、そもそもそのようなメールは受け取らないようにしたとしよう。
    俺は全く困らないが、それやると困るのがメアドを頑に「""」で囲いたがる一派なんじゃないの?
    まして「名前 "メールアドレス"」とか馬鹿かよ。

    スマホやタブレットには、全部表示するだけのスペースがない。
    なので結果として、今のような表示になってるわけだけなのに。
    それを脆弱性とか大騒ぎされてもな。

    このYan Zhuとやらも、自分の書き方が異常なんだってそろそろ気づけよ。
    だいたい自分で自分の首締めてなにがしたいんだコイツ?

    まあこの際丁度いいから、メアドを「""」で囲む派には絶滅してもらったら?
    俺としてはその方がいいけど。

    • by Anonymous Coward

      フィッシングメールを送る側の人かな?

      >「違反している表記方なので異なったメールアドレスが表示されているかもしれますん」と、メールを表示した際に警告を出すようにするとか、そもそもそのようなメールは受け取らないようにしたとしよう。

      は?
      なんでそんな面倒なことする必要があんの?
      前のバージョンで起きなかったんだから、そのバージョンの表示法に戻せばいいだけだろ。

    • by Anonymous Coward

      auのメール受信サーバは名前に @ が入っているとspam扱いで捨てちゃいますね。

      MLでfromをMLのアドレス、名前を送信者のメールアドレスにしようとしてはまったことがある。
      なので、「From: なまえ "name@example.com" 」形式のメールは、auには届かないと思われます。

      偽装っぽいのは使うべきじゃないってことね。

      ※もしかしたら同じアドレスなら@あっても平気かもしれないが検証はしてない

  • by Anonymous Coward on 2015年11月19日 12時24分 (#2920123)

    Androidは脆弱性や、バイドゥのやりたい放題とか問題だらけだよな。
    すべてのAndroidを出荷停止して市場からさげて、一年間セキュリティチェックに専念したらどうなの?
    顧客がどんどん逃げてますよ。

  • by Anonymous Coward on 2015年11月19日 12時45分 (#2920148)

    記事の題名「Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ」へのツッコミがない。

    この題名、日本語としておかしい。

    これは、加害側の観点(能動形)に立てば
    「Android版Gmailアプリに、偽装した送信元アドレスを簡単に表示できるバグ」等になるが、

    被害側の観点(受動形)に立てば
    「Android版Gmailアプリに、偽装された送信元アドレスが簡単に表示されるバグ」等になる。

    最初の題名は、能動形と受動形がごちゃまぜになっている。

    • by Anonymous Coward

      アホみたいな誤字するhylomに何言っても無駄だろうが、
      ここまでひねっくれた日本語を構築するのは注意力散漫だけでなく
      言語能力の異常を疑う。

    • by Anonymous Coward

      むしろ、あなたのほうが日本語を理解されていないのでは?
      助動詞「られる」には、「可能」と「受け身」の両方の使い方があります。

      A.タコさんとカニさんの一口で食べられるおべんとう
        →そのお弁当にはタコさんとカニさん(型のウィンナー)が入っており、一口で食べることができるという意味

      B.タコさんとカニさんの一口で食べられるおべんとう
        →そのお弁当はタコさんとカニさんであり、人(?)を一口で食べてしまうとの意味

      • by Anonymous Coward

        「ここまで~なし」と得意気に投稿する際には、その理由を一考したいところですね。

  • by Anonymous Coward on 2015年11月19日 14時38分 (#2920254)

    簡単にいうと

    From:"おばま<fake@example.com>"<real@example.com>

    というFromを送ったら、実際の送信メールアドレスは real の方なのにAndroidのGmailアプリでは送信アドレスの欄にfakeの方が表示されてしまう、って話だよね。
    realの方は攻撃者の普通のアドレスで普通に送れるから、名前部分に偽のアドレスを入れても送信されるのは仕様。

    問題はGmailアプリの表記の仕方かな。
    ちゃんと

    名前 : おばま<fake@example.com>
    アドレス : real@example.com

    と表示すれば問題ないんだよね。

    • by Anonymous Coward

      というかその手の実メールアドレス表示機能が無い、
      もしくは二重引用符等があると消えてしまうってー脆弱性なんじゃないかと。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...