Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ 30
なるほど 部門より
差出人の表示名に任意のメールアドレスを含むメールをAndroid版Gmailアプリで受信すると、そのメールアドレスが差出人のメールアドレスのように表示されてしまうバグが見つかっている(Yan Zhu氏のツイート、Motherboard、Softpedia、TechWorm)。
このバグは差出人が「名前 ""メールアドレス"」のような形式で表示名を設定している場合に再現する。メール一覧では二重引用符を含む差出人名が表示され、メッセージを開いた場合の表示も通常とは若干異なる。そのため、注意深く見れば気付くと思われるが、実際の差出人のメールアドレスはまったく表示されない。なお、古いバージョン(Android 2.3.x)のGmailアプリでは再現しなかった。
このような形式での表示名を設定できるかどうかはメールサービスによって異なるが、少なくともGmailのアカウント設定では可能となっている。一方、Outlook.comでは二重引用符を含む表示名を設定できないようだ。
SMTPサーバーを使用してメールを送信すれば任意のメールアドレスを差出人のメールアドレスに偽装することは可能だが、Gmailなどでは別のメールアドレスを使用する場合はそのメールアドレスに送信される確認コードの入力が必要となる。
しかし、この方法では確認を必要としないため、簡単に差出人を偽装できてしまうことになる。また、差出人のメールアドレスとして記載されているのは本物なので、DKIMやSPF、DMARCといった送信ドメイン認証技術による確認もすり抜けてしまう。
バグを発見したセキュリティ研究者のYan Zhu氏は10月末にGoogleに報告しているが、Googleからはセキュリティ脆弱性ではないとの回答があったとのこと。Android版Gmailアプリは16日にも更新されているが、このバグは修正されていない。
ニホンゴムズカジイ (スコア:1)
それは良いことなのでは? と思ったわ
Re: (スコア:0)
Title:ニホンゴムズカジイ
…ジィメイルだけにな
ってやかましいわっ
うん、なるね。 (スコア:0)
そして、Googleに聞いたらまぎらわしいが問題はないって回答来たよ。
Re: (スコア:0)
自社製品の問題を認めるわけにはいかないしね
Re: (スコア:0)
いや、これはプロトコルの脆弱性だろ。
SMTPのRFCに、二重引用符の禁止なんて規定はないと思うぞ。
# つーかGoogleは比較的頻繁に、自社製品の脆弱性を認めている会社だと思うが……。
Re: (スコア:0)
>SMTPのRFCに、二重引用符の禁止なんて規定はないと思うぞ。
そりゃそうだろうさ。そこはSMTP(RFC5321)の管轄じゃなく、
Internet Message Format(RFC5322) の管轄で、そっちの方の違反だからな。
Outlookでは (スコア:0)
外部ドメインからのメールの差出欄には、メールアドレスも併記されるので、この問題はなさそうですね。
GMailの仕様はバグではないですが、例えば標的方攻撃のスキームの一部として利用可能なのは確かなので、
Outlookと同様の対応は欲しいところですね。
メールの差出人 (スコア:0)
差出人なんて詐称し放題なんですが・・・
差出人を見て判断するのは危険では
EHLO AAAAAA
MAIL FROM:
RCPT TO:
DATA
.....
From:
の部分はSPFなどではじかれるけど
の部分は偽装し放題なうえに
SPFでもチェックされない部分で、かつ
MUAで表示される差出人になるわけですし
こんなものを信用してはだめでしょう
タグくらいにとらえておいたほうがいいのでは・・・?
Re: (スコア:0)
ああ・・・一部削除されてる・・・
SPFのチェックの対象となるのはenvelope-fromとHELOのあとのホストの部分なので
メールヘッダは、そもそも偽装され放題ですよと・・・
Re: (スコア:0)
記事の本文くらい読めよ……。
Re: (スコア:0)
記事では、送信元とenvelopeの区別が付いていないでしょ
元ACはそこを指摘してるよね
分からないならコメントしないほうがいいよ
Re:メールの差出人 (スコア:1)
いやだから、
> SMTPサーバーを使用してメールを送信すれば任意のメールアドレスを差出人のメールアドレスに偽装することは可能だが、Gmailなどでは別のメールアドレスを使用する場合はそのメールアドレスに送信される確認コードの入力が必要となる。
>しかし、この方法では確認を必要としないため、簡単に差出人を偽装できてしまうことになる。また、差出人のメールアドレスとして記載されているのは本物なので、DKIMやSPF、DMARCといった送信ドメイン認証技術による確認もすり抜けてしまう。
読んでる?
ねえ、本当に記事本文読んでる?
それとメールヘッダのFromもエンベロープのFromも偽装可能(というか自己申告)なのに、この話の流れで区別する意味あんの?
Re: (スコア:0)
要するにメールのFromは偽装し放題なわけですね。
Re: (スコア:0)
元ACだけど、この人理解して書いてないね…
元々の文章があやまってるでしょーに
差出人のメールアドレスはSPFと関係ないの
RFC4408のsenderの定義でも読んでみれよ
Re: (スコア:0)
かたやSPFの対象でかたや、偽装し放題なのに、
区別しないでどうするの?
頭沸いてるの?
Re: (スコア:0)
DKIMの検証対象は、envelope from じゃなくて、メッセージヘッダの方ですよ。
つまり、DKIMを通っていれば、メッセージヘッダのFrom:は正しい筈。
それが偽装されるってのが問題。
まあ、これはタレコミにSPFなんて書いてあるのも悪いんだけど。
Re: (スコア:0)
いえ別にそこは偽装されません。
ただ単に、名前欄のメールアドレスを実メールアドレスと誤解しやすい形で表示されるケースが有るという外観上の脆弱性です。
実行ファイルのアイコンをフォルダアイコンにしとくようなのと割と似た方向性の攻撃が可能ですよ、と。
自称差出人名で終わらずに実メールアドレスをわかりやすく表示してれば簡単に回避可能なのでそれをやってほしいという要望。
Re: (スコア:0)
知的な人だけが使うものが
一般普及したのなら
痴的な人も使えるようにするか
免許制にするか
こまけぇこたぁ(ry
にするしかないんですよねぇ
言うほど問題か? (スコア:0)
それならまあ仮に、一般的な「"名前" 」とか「メールアドレスオンリー」、「名前 」みたいな形式以外は違反ということにしようよ。
「違反している表記方なので異なったメールアドレスが表示されているかもしれますん」と、メールを表示した際に警告を出すようにするとか、そもそもそのようなメールは受け取らないようにしたとしよう。
俺は全く困らないが、それやると困るのがメアドを頑に「""」で囲いたがる一派なんじゃないの?
まして「名前 "メールアドレス"」とか馬鹿かよ。
スマホやタブレットには、全部表示するだけのスペースがない。
なので結果として、今のような表示になってるわけだけなのに。
それを脆弱性とか大騒ぎされてもな。
このYan Zhuとやらも、自分の書き方が異常なんだってそろそろ気づけよ。
だいたい自分で自分の首締めてなにがしたいんだコイツ?
まあこの際丁度いいから、メアドを「""」で囲む派には絶滅してもらったら?
俺としてはその方がいいけど。
Re: (スコア:0)
フィッシングメールを送る側の人かな?
>「違反している表記方なので異なったメールアドレスが表示されているかもしれますん」と、メールを表示した際に警告を出すようにするとか、そもそもそのようなメールは受け取らないようにしたとしよう。
は?
なんでそんな面倒なことする必要があんの?
前のバージョンで起きなかったんだから、そのバージョンの表示法に戻せばいいだけだろ。
Re: (スコア:0)
auのメール受信サーバは名前に @ が入っているとspam扱いで捨てちゃいますね。
MLでfromをMLのアドレス、名前を送信者のメールアドレスにしようとしてはまったことがある。
なので、「From: なまえ "name@example.com" 」形式のメールは、auには届かないと思われます。
偽装っぽいのは使うべきじゃないってことね。
※もしかしたら同じアドレスなら@あっても平気かもしれないが検証はしてない
またAndroidか (スコア:0)
Androidは脆弱性や、バイドゥのやりたい放題とか問題だらけだよな。
すべてのAndroidを出荷停止して市場からさげて、一年間セキュリティチェックに専念したらどうなの?
顧客がどんどん逃げてますよ。
ここまで (スコア:0)
記事の題名「Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ」へのツッコミがない。
この題名、日本語としておかしい。
これは、加害側の観点(能動形)に立てば
「Android版Gmailアプリに、偽装した送信元アドレスを簡単に表示できるバグ」等になるが、
被害側の観点(受動形)に立てば
「Android版Gmailアプリに、偽装された送信元アドレスが簡単に表示されるバグ」等になる。
最初の題名は、能動形と受動形がごちゃまぜになっている。
Re: (スコア:0)
アホみたいな誤字するhylomに何言っても無駄だろうが、
ここまでひねっくれた日本語を構築するのは注意力散漫だけでなく
言語能力の異常を疑う。
Re: (スコア:0)
むしろ、あなたのほうが日本語を理解されていないのでは?
助動詞「られる」には、「可能」と「受け身」の両方の使い方があります。
A.タコさんとカニさんの一口で食べられるおべんとう
→そのお弁当にはタコさんとカニさん(型のウィンナー)が入っており、一口で食べることができるという意味
B.タコさんとカニさんの一口で食べられるおべんとう
→そのお弁当はタコさんとカニさんであり、人(?)を一口で食べてしまうとの意味
Re: (スコア:0)
「ここまで~なし」と得意気に投稿する際には、その理由を一考したいところですね。
こういうこと? (スコア:0)
簡単にいうと
From:"おばま<fake@example.com>"<real@example.com>
というFromを送ったら、実際の送信メールアドレスは real の方なのにAndroidのGmailアプリでは送信アドレスの欄にfakeの方が表示されてしまう、って話だよね。
realの方は攻撃者の普通のアドレスで普通に送れるから、名前部分に偽のアドレスを入れても送信されるのは仕様。
問題はGmailアプリの表記の仕方かな。
ちゃんと
名前 : おばま<fake@example.com>
アドレス : real@example.com
と表示すれば問題ないんだよね。
Re: (スコア:0)
というかその手の実メールアドレス表示機能が無い、
もしくは二重引用符等があると消えてしまうってー脆弱性なんじゃないかと。