黑客可利用Airmail 3漏洞竊取用戶信息

攻擊者可以濫用Mac電子郵件程序處理的URL請求來竊取受害者的文件。

Airmail 3軟體中的嚴重漏洞----MacOS上Apple Mail的替代軟體----可以讓遠程攻擊者竊取用戶過去的電子郵件和文件附件。在大多數情況下，攻擊者僅僅需要用戶點開帶有惡意軟體的信息就可以竊取信息。

VerSprite的研究人員發現經Airmail 3處理過的網址請求可以被用來竊取用戶信息，而且技術要求很低。攻擊者只需要給Airmail 3用戶發一封帶有URL請求郵件，該URL請求會觸發應用程序的「發送郵件」功能。用戶不知道，如果單擊此鏈接，此鏈接將打開並從受害者帳戶向攻擊者發送新的電子郵件。其他元素也可以嵌入到攻擊電子郵件中，這將導致Airmail 3將文件附加到外發郵件----例如之前發送的電子郵件。

更糟糕的是，研究小組還發現他們還可以在部分時間內繞過Airmail的HTML過濾器立即發動攻擊。如果受害者點擊以查看Airmail 3中的惡意消息，就會觸發該漏洞，而且包括受害者電子郵件在內的資料庫會自動發送給攻擊者，但是這種攻擊只在部分時間內有效。

一些相互關聯的漏洞

VerSprite安全研究經理Fabius Watson稱，該團隊發現了四個不同的會引發這種攻擊的漏洞。

他解釋說，首先，對處理「發送」功能的部分代碼不要求遠程登錄意味著攻擊者可以強制受害者帳戶發送電子郵件而無需對攻擊者進行身份驗證。

Watson補充說，具體而言，對airmail不正確的訪問控制：發送「發送」命令的方案處理程序允許外部應用程序在沒有身份驗證的情況下從活躍帳戶發送任意電子郵件。Airmail 3存儲OAuth令牌，如果是私有伺服器，則保存配置，因此用戶無需輸入密碼。

因此，對於要使用「發送」命令的URL結構的攻擊者而言，他只需要在URL字元串中填寫一個帳戶參數來定位用戶;確定從哪個配置的Airmail帳戶發送新郵件。

這很容易。「根據我們的觀察，帳戶名稱默認等於帳戶的關聯電子郵件地址，」Watson解釋道。「此外，Airmail的「發送」命令不需要重新驗證。這不僅允許本地應用程序通過Airmail的URL方案發送電子郵件，而且還可能引入危險的網路釣魚原語。

要強制目標帳戶發送電子郵件，攻擊者要向目標用戶發送帶有出發「發送」功能的惡意URL請求的電子郵件。用戶則需要點開這個鏈接。

再次過程中，不會提示受害者允許發送外發郵件;因此，受害者不會知道自己的賬戶向攻擊者發送了郵件。

「現代應用程序通常應在向自定義URL處理程序轉發請求之前請求用戶的許可，」Watson說。

第二個漏洞允許攻擊者使用特定的URL請求從用戶帳戶資料庫中獲取特定文檔，並將其附加到隱蔽的出站電子郵件中。

Watson解釋說，「帶有"attachment_"前綴的「發送」命令的URL參數指定附件參數。如果附件參數的值與可訪問的文件路徑相對應，則該文件將附加到出站消息中。此外，相對文件路徑是可接受的附件參數值。」

這意味著攻擊者需要知道他想要的文件的名稱;然而，Watson指出，Airmail 3文件遵循一個已知的命名法，允許攻擊者合理地推斷出所需文件夾的名稱

例如，Airmail 3將其應用程序數據存儲在SQLite資料庫中，查看幾個Airmail資料庫的table schemas表明，電子郵件消息存儲在每個帳戶名為Message_0_1_50000.db的資料庫中。這個資料庫的路徑是相對確定的。

另外，第三個漏洞以HTMLFrameOwnerElements的不完整黑名單的形式存在，它允許遠程攻擊者通過電子郵件載入WebKit Frame實例。

Airmail的主要WebView實例將來自HTMLIFrameElements的請求列入黑名單;但政策並未禁止HTMLFrameOwnerElements的子類，攻擊者可能濫用電子郵件中的HTML插件元素來觸發繞過[HTML]過濾器的幀導航請求，這意味著攻擊者電子郵件中的漏洞利用內容不會被標記為惡意。攻擊者可以嵌入12個不同的HTML插件，每個插件都包含一組不同的附件請求。

第四個漏洞可以在受害者打開攻擊者的電子郵件時自動執行攻擊----有時候。

「雖然主要的攻擊媒介可能足以進行網路釣魚攻擊，但我們對這一不需要用戶參與的攻擊媒介感興趣，」Watson說。「我們知道Airmail在WebKit WebView中呈現HTML電子郵件，因此我們檢查了是否可以自動觸發Airmail URL有效負載的導航請求。」

該團隊發現，在編寫JavaScript時嘗試此操作不會成功;但是，可以在「webView：decisionPolicyForNavigationAction：request：frame：decisionListener：」中觸發競爭條件;這允許遠程攻擊者繞過Airmail的EventHandler導航過濾器自動打開嵌入的HTML元素。Watson說這是因為Airmail的主要WebView實例使用OpenURL作為默認的URL處理程序。但是，這種攻擊並不是一直有效。

僅當"currentEvent"為"NX_LMOUSEUP"或"NX_OMOUSEUP"時，導航請求才由默認的URL處理程序處理，攻擊者可能會濫用帶有EventHandler的HTML Elements，以便有機會驗證在點擊電子郵件觸發的"NX_LMOUSEUP"事件期間處理的URL的導航請求。」

雖然不是百分之百可行，但由於開發所需的用戶參與度最小，因此該漏洞仍然存在巨大的風險。許多用戶知道不要點擊電子郵件中不受信任的鏈接，但有多少人知道打開郵件都有可能使信息泄露？

為了使其更具攻擊性，攻擊者可以設置屬性以將可點擊圖像的寬度和高度減小到零，因此受害者無法看到郵件中的元素----用戶必須查看郵件的源代碼才能看到惡意URL請求。

這種方法成功的機率是50%。

該公司的測試僅涵蓋了Mac上的Airmail 3----漏洞尚未在iOS版本上進行測試。Watson補充說，這些漏洞已經報告給Airmail，但補丁尚未發布; VerSprite也正在將問題提交給MITRE漏洞資料庫以獲取指定的CVE。

最好在漏洞修復之前不要使用Airmail。畢竟，如果點開了惡意鏈接，攻擊就100%成功了。即使不點開惡意鏈接也有50%的可能會觸發自動攻擊。攻擊可以將Airmail 3捆綁內的任何內容發送給攻擊者，包括存儲的電子郵件，附件文件等。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！