Дослідник безпеки Сабрі Хаддуш (Sabri Haddouche) виявив серію вразливостей, що отримали загальну назву MailSploit, які дозволяють розсилати шкідливі електронні листи в обхід механізмів захисту від спуфінгу. Вразливості торкаються 33 популярних поштових клієнтів, у тому числі Apple Mail (macOS, iOS та watchOS), Mozilla Thunderbird, кілька поштових клієнтів від Microsoft, Yahoo Mail, ProtonMail та ін.

Незважаючи на реалізацію у більшості поштових клієнтів механізмів захисту від спуфінгу, таких як DKIM та DMARC, MailSploit дозволяє обійти цей захист шляхом експлуатації механізму аналізу поля відправника, використовуваного поштовими клієнтами та web-інтерфейсами.

Для демонстрації атаки дослідник створив корисне навантаження, закодувавши символи, що не відображаються, в заголовку електронної пошти, успішно відправивши підроблений лист нібито з офіційної адреси президента Сполучених Штатів Америки.

"Використовуючи комбінації символів керування, таких як нові рядки або нульові байти, можна домогтися приховання або видалення частини домену вихідного листа", - пояснив експерт.

Окрім спуфінгу, дослідник також виявив, що деякі з поштових клієнтів, включаючи Hushmail, Open Mailbox, Spark та Airmail уразливі до XSS-атак.

Хаддуш повідомив розробників усіх 33 поштових клієнтів, 8 із них уже виправили дані проблеми у своїх продуктах, а ще 12 перебувають у процесі роботи над патчами.