Изследователи от Университета за приложни науки в Мюнстер откриха уязвимости в технологиите Pretty Good Protection (PGP) и S/MIME, използвани за криптиране на имейли. Проблемът е в това как имейл клиенти използвайте тези добавки за декриптиране на имейли, базирани на HTML. Физически лица и компании се насърчават да деактивират PGP и/или S/MIME в своите имейл клиенти засега и да използват отделно приложение за криптиране на съобщения.
Нарича се EFAIL, уязвимостта злоупотребява с „активно“ съдържание, изобразено в имейли, базирани на HTML, като изображения, стилове на страници и друго нетекстово съдържание, съхранявано на отдалечен сървър. За да извърши успешно атака, хакерът трябва първо да разполага с криптирания имейл, независимо дали е чрез подслушване, хакване на имейл сървър и т.н.
Препоръчани видеоклипове
Първият метод на атака се нарича „Директно ексфилтриране“ и злоупотребява с уязвимости в Apple Mail, iOS Mail и Mozilla Thunderbird. Хакерът създава имейл, базиран на HTML, състоящ се от три части: началото на етикет за заявка за изображение, „откраднат“ PGP или S/MIME шифрован текст и край на етикет за заявка за изображение. След това нападателят изпраща този преработен имейл на жертвата.
От страна на жертвата имейл клиентът първо дешифрира втората част и след това комбинира и трите в един имейл. След това преобразува всичко в URL форма, започваща с адреса на хакера, и изпраща заявка до този URL за извличане на несъществуващото изображение. Хакерът получава заявката за изображение, която съдържа цялото декриптирано съобщение.
Вторият метод се нарича „CBC/CFB Gadget Attack“, който се намира в спецификациите на PGP и S/MIME и засяга всички имейл клиенти. В този случай нападателят намира първия блок от криптиран обикновен текст в откраднатия имейл и добавя фалшив блок, пълен с нули. След това нападателят инжектира етикети на изображението в шифрования обикновен текст, създавайки една шифрована част от тялото. Когато клиентът на жертвата отвори съобщението, обикновеният текст е изложен на хакера.
В крайна сметка, ако не използвате PGP или S/MIME за криптиране на имейл, тогава няма за какво да се притеснявате. Но хората, компаниите и корпорациите, които използват тези технологии ежедневно, се съветват да деактивират свързаните добавки и да използват клиент на трета страна за криптиране на имейли, като напр. Сигнал (iOS, Android). И защото EFAIL разчита на имейли, базирани на HTML, засега също се препоръчва деактивиране на изобразяването на HTML.
„Тази уязвимост може да се използва за дешифриране на съдържанието на шифровани имейли, изпратени в миналото. След като използвах PGP от 1993 г., това звучи бааад (sic),” Мико Хипонен от F-Secure написа в туит. Той по-късно каза че хората използват криптиране с причина: бизнес тайни, поверителна информация и др.
Според изследователите „някои“ разработчици на имейл клиенти вече работят върху пачове, които или елиминират EFAIL напълно или прави подвизите по-трудни за изпълнение. Те казват, че стандартите PGP и S/MIME се нуждаят от актуализация, но това „ще отнеме известно време“. Пълната техническа документация може да се прочете тук.
Проблемът беше изтекъл за първи път от Süddeutschen Zeitun вестник преди планираното новинарско ембарго. След EFF се свърза с изследователите за да потвърдят уязвимостите, изследователите бяха принудени да пуснат техническия документ преждевременно.
Препоръки на редакторите
- Този критичен експлойт може да позволи на хакерите да заобиколят защитите на вашия Mac
- Нови фишинг имейли за COVID-19 може да откраднат вашите бизнес тайни
- Актуализирайте своя Mac сега, за да коригирате уязвимостта, която дава пълен достъп до шпиониращи приложения
- Google казва, че хакерите са имали достъп до данните на вашия iPhone от години
- Хакерите могат да фалшифицират съобщения в WhatsApp, които изглеждат сякаш са от вас
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
