Facebookのメッセージは送信者を偽装できる 22
ストーリー by hylom
Facebookのメッセージ機能は過去にも話題に 部門より
Facebookのメッセージ機能は過去にも話題に 部門より
あるAnonymous Coward 曰く、
Facebookにはメールでメッセージをやり取りできる機能がある。各Facebookユーザーにはユーザー名@facebook.comというメールアドレスが与えられ、ここにメールを送信するとそれがFacebook上にメッセージとして表示される。このとき、送信されたメールのFrom:がFacebookに登録されているメールアドレスだった場合、送信者としてそのユーザーのプロフィール写真やユーザー名などが表示されるのだが、これを悪用し、Fromを詐称することで送信者を偽装できてしまうという(Facebookのメッセージは送信者を自由に偽装して送れることが判明)。
メールの送信元は簡単に偽装できてしまい、またFacebookからは送信されたメールのヘッダを確認できないため、本当にそのメールが表示されているユーザーから送られたものかは判別が付かない。スパムやフィッシングなどに悪用される危険性もある。
実装が悪い (スコア:3, 興味深い)
Toが不特定多数に公開されているも同然なのに、
その To 宛のメールヘッダに記載される From を機械的に信用しちゃうなんて、Facebookの実装があかんですねこれは。
っても、S/MIMEやPGPを使うなんて現実的ではないでしょうから、
* Facebook が自前の送信専用SMTPサーバ(もちろん認証必須)を用意して、必ずそこから送信させる(そうでないものは弾く)
(この実装を維持するとした場合)このぐらいしか有効な対策がないと思います。
さくっと、メールとの連携機能をやめてしまうのが吉ではないかと。
# 実装時に、誰かが問題視しなかったのかなあ。
comutt
Re:実装が悪い (スコア:2)
そこまでしなくても、SPF認証するだけで完全ではないけど被害は抑えられそうですね
Re:実装が悪い (スコア:1)
うーん、SPF程度だとあまり防御になってないのではないでしょうか。
gmail.com などはSPFが意味をなさないでしょう。(誰でも簡単に取れるので)
comutt
Re:実装が悪い (スコア:1)
gmail.com などはSPFが意味をなさないでしょう。(誰でも簡単に取れるので)
すません、 SPF は Return-Path (MAIL FROM:)を見るものでしたね。
勘違いしました。
comutt
Re: (スコア:0)
S/MIMEを使用しないメールとの連携機能を停止すればいいんじゃない?
現実的じゃないと考えている理由はわからないのだけど,
facebookが自前でkeyserver立てなくても外部のものを使えばいいような.
# メールについてもS/MIMEをみんなが使うようになってくれるならむしろ歓迎
Re:実装が悪い (スコア:1)
現実的じゃないと考えている理由はわからないのだけど,
すみません、技術的に現実的ではない、という意味ではありませんでした。
S/MIMEやPGPの普及度からいって、大多数にとってかなり障壁の高いものだと思います。
そして、そこまで障壁を高くしておいて、メール連携機能を使う人がいるかというと、私は疑問に思います。
なんで、連携なんてやめてしまえばいいんじゃないかしら、と思うわけです。
comutt
これ、メールアドレスから本名をFacebook経由で検索可能って事ですよね? (スコア:1)
spamerやらフィッシング屋さんは自分宛にターゲットの偽装Fromで送信、Facebookの名前を取得>メールにその名前を埋め込めばより効率よくコトが進められそうですね。
ハンドル禁止ですし、アドレス非公開でも名前がでるそうですし。
Re: (スコア:0)
そもそも、そのメールアドレスはどうやって取得するのでしょう?
本名のfacebookに登録されているメールアドレスは、
spamerが普段拾っているような捨てアドと違って、非公開ないし限定公開のプライベートなもの
もしくは実名を使用するWebサービス登録用ですよね。
botが拾ったアドレスの中でfacebookに実名登録されている割合なんて高々しれてます。
そんな確率のもとでfacebookにメール投げてレスポンスを待つよりも、
より多くのメールを投げたほうがはるかに有意義では?
Re:これ、メールアドレスから本名をFacebook経由で検索可能って事ですよね? (スコア:1)
非公開ないし限定公開のプライベートなものもしくは実名を使用するWebサービス登録用
記事にリンクのあるブログでは下記のように書かれています。
ログイン用のアドレスだろうが、その他の連絡先用アドレスだろうが、その人からのメッセージとして表示される。
facebookの登録アドレスにどれくらい制限があるのか知りませんが、登録用ではない「その他の連絡先用アドレス」が公開されているとか「限定公開のプライベートなもの」が流出している可能性は?
botが拾ったアドレスの中でfacebookに実名登録されている割合なんて高々しれてます。
その高々しれてるアドレスの抽出だから価値あるわけです。
より多くのメールを投げたほうがはるかに有意義では?
メールにリアクションがあることも高々知れてます。なんではるかに有意義であると言えるの?
#もしかして、もう試した?
Re: (スコア:0)
いや、ああいう所に登録したアドレスはどっかから漏れるものとあきらめてどうでもいいアドレスで登録してますが…
英単語@自前ドメインとかで。
このアドレスから名前逆引きされると嫌だな。
Re: (スコア:0)
そもそも、そのメールアドレスはどうやって取得するのでしょう?
釣り?
こうやって~って書き込むと、それを実践して、有効なメールアドレス収集でもするつもりでしょうか?
#色々アイディアはあるが、実践されて責任転嫁されても困るので省略
Re: (スコア:0)
最近の spammer は、無効な送信先が多量に含まれているとブロックされる場合などもあるので、『生きているアドレスのリスト』を常に保つようにしていると思われます。
その為には、 bot による収集だけでなく、流出情報の売買、 spammer 間でのアドレスリストのやり取りなども行っていると思われます。 (実際、流出が原因で spam が届くようになった後、ある程度日をおいてから、それまでの spam と別の業者から spam が届くようになったのを経験
スパマーよりも (スコア:0)
企業のオフィシャルアカウントをなりすましていたずらに使う愉快犯が出そうな脆弱性ですなぁ
#あんま使ってない機能ならさっさと削除しちまえばってのはそのとおりなんじゃないかと思った
Apple曰く (スコア:0)
「iMessageを使え」 [srad.jp]
Twitterからメールが来た (スコア:0)
なんかTwitterで話題になってる最新情報とやらのメールがいきなり来た。
いままでこんなのあったっけ? 最初、Spamじゃないかと疑った。
先頭の話題が「Facebookのメッセージ機能はあぶない!」
なんかすごく嬉しそうな感じが文面から伝わって来ましたよ
他の最新情報とやらも、なんか2chのまとめサイトのような項目。
もいちどいうけど、今までこんなメール着てたっけ?
Re:Twitterからメールが来た (スコア:1)
http://blog.twitter.com/2012/05/best-of-twitter-in-your-inbox.html
Re: (スコア:0)
メールを見て速攻でその設定をしたけど、それでも送られてくる。もう一度設定しなおしたけどそれでも送られてきたらどうしてくれようか。
TwitterのWebインターフェースは
・未ログイン状態だと会話を表示できない(通信ログを取ると間抜けにもXHRの通信をログイン画面にリダイレクトしようとしてる)
↓
・ツイート中のテキストを選択しようとしてもマウスを離した瞬間にメッセージが開閉してうざいことこの上ない
↓
・未ログイン状態だとページ末尾にスクロールしても古いメッセージが表示されず「読み込みに時間がかかっているようです」とか言われる。通信ログを取ると間抜けにもXHRの通信を(ry
とか、永遠のベータ版感が半端ない。ひとつ直したらまた別の不具合が出てくるとかマジ勘弁して欲しいんだけど。
使わなければ (スコア:0)
基本、@facebook.comのメールはSMTPサーバーがないわけで、普通に考えれば、このメールアドレスで送信されることはないのでは?
Emailで@facebook.com宛にメールして、その返信としてfacebook.comで返信される場合くらいだろうか。
そうなると、結局facebook.comのSMTPを使うのはfacebook自身しかないわけで、
自分が送信してない「facebook.comからfacebook.comに送信されるメール」をブロックすれば良いのでは。
Re: (スコア:0)
豆しば『ねぇ知ってる? (スコア:0)
Facebookはプライバシー設定が充実しているので安心して楽しめるんだって。』
# これを見て『わざわざ豆しば使って宣伝しなきゃならないほど不安を持たれていることを自覚してるんだ。ふーん…』と思ったAC
Re: (スコア:0)
括弧悪いな
問題点としては (スコア:0)
「送信元が偽装できる」のはEメールシステムの仕様なので、
それ自体はFacebookを批判する要素とは思いません。
ただ、facebookの問題は
偽装された送信元を、あたかも正規の送信元であるかのように
Facebook上のアカウントに無条件で誘導してしまうところですよね。
個人的には、
・偽装できるというのは別にこのままでいい
・Facebookのメッセージ表示の際、送信元が偽装されていたら
「このメッセージの送信元は本来の送信元と違うものにされています」などで
正規のFacebook上のアカウントへの誘導の前に警告を置く
くらいでいいかな、と思います。
この辺は、先日の
「既存のすべてのiOSデバイスが、受信するSMSの送信元偽装に深刻な問題を抱えている」
と同じですね。
たとえば「もちろんマルウェアではないまったく潔癖だが電話帳を全部盗むiOSアプリ」で電話帳を盗み、
(アプリ開発者自身か、そこから情報を買った輩かは別として)
その電話帳の内容を踏まえて送信元を偽装したSMSを送りつける、とされると
iOSデバイスはご丁寧にも
「あなたの電話帳に登録されているこの人からこのメッセージが届きました!!」となります。
ここで、EメールサービスやEメールクライアントであれば
メールサービス提供者やメールクライアントの持つ各種送信元偽装機能などが使えますが、
iOSデバイスの場合
「SMSを使ってたらガード不能。しかもiMessage使えとか斜め上の回答」
のため騒動になりました。