十几个流行的电子邮件客户端易受签名欺骗攻击

受影响的电子邮件客户端包括Thunderbird、Microsoft Outlook、Apple Mail with GPGTools、iOS Mail、GpgOL、KMail、Evolution、MailMate、Airmail、K-9 Mail、Roundcube和Mailpile。

当你发送一封数字签名的电子邮件时，它提供了消息的端到端真实性和完整性，确保收件人的电子邮件实际上来自你。

然而，研究人员对25个广泛使用的Windows、Linux、macOS、iOS、Android和Web电子邮件客户端进行了测试，发现其中至少有14个客户端容易受到以下五个类别的多种实际攻击，这使得即使是细心的用户也无法区分伪造的签名和有效的签名。

这项研究是由波鸿鲁尔大学和米恩斯特应用科学大学的一组研究人员进行的，其中包括Jens Mül勒、Marcus Brinkmann、Damian Poddebniak、Hanno B·OK、Sebastian Schinzel、Juraj Somorovsky和Jo.Rg ScWnk。

“在我们的场景中，我们假设两个值得信赖的通信伙伴Alice和Bob安全地交换了他们的公共PGP密钥或S/MIME证书，”该团队在今天发表的一篇研究论文[PDF]中解释道。

“我们的攻击者Eve的目标是创建一封包含任意内容的电子邮件，并将其发送给Bob，Bob的电子邮件客户端错误地表示该电子邮件已由Alice进行数字签名”。

1、CMS攻击（C1、C2、C3、C4）， 由于错误处理S/MIME的容器格式加密消息语法（CMS）而导致的缺陷会导致矛盾或异常的数据结构，例如多个签名者或无签名者。

2、 GPG API攻击（G1、G2），许多电子邮件客户端中的实现缺陷无法正确解析各种不同的输入，这可能使攻击者将任意字符串注入GnuPG状态行API和日志消息，诱使客户端显示任意公钥的成功签名验证。
3、 MIME攻击（M1、M2、M3、M4），MIME包装攻击滥用电子邮件客户端处理部分签名邮件的方式。这些攻击允许攻击者诱使电子邮件客户端显示未签名的文本，同时验证另一部分（仍不可见）中的不相关签名。

4、ID攻击（I1、I2、I3）， 这些攻击依赖于邮件客户端将签名邮件绑定到发件人身份的弱点，使得攻击者能够显示邮件头中可信通信伙伴身份（ID）的有效签名。

5、用户界面攻击（U1），如果攻击者找到一种方法，使用HTML、CSS或内联图像模拟电子邮件客户端的一些重要UI元素，使其能够显示有效签名的指示器，则用户界面（UI）纠正攻击是成功的。

下面是针对OpenPGP的各种电子邮件客户端测试的所有上述签名欺骗攻击的结果，其中全黑圆圈表示“完全伪造”，半黑圆圈表示“部分伪造”，白色圆圈表示“弱伪造”
下表显示了S/MIME签名验证的结果：
有趣的是，研究人员还发现，一些电子邮件签名欺骗攻击也可以用来欺骗解密结果，“导致电子邮件客户端指示一条加密消息，而实际上明文是以明文形式传输的”。

研究人员说：“我们的攻击者模型不包括任何形式的社会工程。用户一如既往地打开和阅读收到的电子邮件，因此意识训练无助于减轻攻击”。

尽管通过仔细检查GUI或手动单击以接收更多签名详细信息，可能会检测到大多数这些部分和弱伪造攻击，但当大量敏感用户和社区依赖电子邮件加密和验证进行身份验证时，仍然存在问题。

电子邮件客户端中的漏洞已被赋予以下CVE:CVE-2018-18509、CVE-2018-12019、CVE-2018-12020、CVE-2017-17848、CVE-2018-15586、CVE-2018-15587、CVE-2018-15588、CVE-2019-8338、CVE-2018-12356、CVE-2018-12556和CVE-2019-728。

研究人员向受影响的供应商和开发人员报告了这些漏洞，并提出了相应的应对措施，这些措施现已在大多数受影响软件的最新版本中实施。