Výzkumníci z Munster University of Applied Sciences objevili zranitelná místa v technologiích Pretty Good Protection (PGP) a S/MIME používaných k šifrování e-mailů. Problém spočívá v tom, jak e-mailové klienty použijte tyto zásuvné moduly k dešifrování e-mailů založených na HTML. Jednotlivcům a společnostem se doporučuje, aby prozatím zakázali PGP a/nebo S/MIME ve svých e-mailových klientech a používali samostatnou aplikaci pro šifrování zpráv.
S názvem EFAILTato chyba zabezpečení zneužívá „aktivní“ obsah vykreslovaný v e-mailech založených na HTML, jako jsou obrázky, styly stránek a další netextový obsah uložený na vzdáleném serveru. K úspěšnému provedení útoku musí hacker nejprve vlastnit zašifrovaný e-mail, ať už jde o odposlech, nabourání se do e-mailového serveru a tak dále.
Doporučená videa
První metoda útoku se nazývá „Direct Exfiltration“ a zneužívá zranitelnosti v Apple Mail, iOS Mail a Mozilla Thunderbird. Útočník vytvoří e-mail založený na HTML, který se skládá ze tří částí: začátek značky požadavku na obrázek, „ukradený“ šifrovaný text PGP nebo S/MIME a konec značky požadavku na obrázek. Útočník pak pošle tento upravený e-mail oběti.
Na straně oběti e-mailový klient nejprve dešifruje druhou část a poté zkombinuje všechny tři do jednoho e-mailu. Poté vše převede do formuláře URL začínajícího adresou hackera a odešle na tuto adresu URL požadavek na načtení neexistujícího obrázku. Hacker obdrží požadavek na obrázek, který obsahuje celou dešifrovanou zprávu.
Druhá metoda se nazývá „CBC/CFB Gadget Attack“, která je součástí specifikací PGP a S/MIME a ovlivňuje všechny e-mailové klienty. V tomto případě útočník najde první blok zašifrovaného prostého textu v odcizeném e-mailu a přidá falešný blok plný nul. Útočník pak vloží značky obrázků do zašifrovaného prostého textu a vytvoří jedinou zašifrovanou část těla. Když klient oběti otevře zprávu, hackerovi se zobrazí prostý text.
Nakonec, pokud nepoužíváte PGP nebo S/MIME pro šifrování e-mailů, pak se nemusíte ničeho obávat. Jednotlivcům, společnostem a korporacím, kteří tyto technologie denně používají, se však doporučuje deaktivovat související pluginy a používat klienta třetí strany k šifrování e-mailů, jako je např. Signál (iOS, Android). A protože EFAIL spoléhá na e-maily založené na HTML, prozatím se také doporučuje deaktivovat vykreslování HTML.
„Tato chyba zabezpečení může být použita k dešifrování obsahu šifrovaných e-mailů odeslaných v minulosti. Protože PGP používám od roku 1993, zní to baaad (sic),“ Mikko Hypponen z F-Secure napsal v tweetu. On později řekl že lidé používají šifrování z nějakého důvodu: obchodní tajemství, důvěrné informace a další.
Podle výzkumníků „někteří“ vývojáři e-mailových klientů již pracují na opravách, které buď eliminují EFAIL celkem nebo ztěžuje dosažení exploitů. Říká se, že standardy PGP a S/MIME potřebují aktualizaci, ale to „bude nějakou dobu trvat“. Úplný technický list si můžete přečíst zde.
Problém byl nejprve odhalen Süddeutschen Zeitun noviny před plánovaným zpravodajským embargem. Po EFF kontaktovala výzkumníky aby potvrdili zranitelnosti, byli vědci nuceni předčasně vydat technický dokument.
Doporučení redakce
- Toto kritické zneužití by mohlo hackerům umožnit obejít obranu vašeho Macu
- Nové phishingové e-maily COVID-19 mohou ukrást vaše obchodní tajemství
- Aktualizujte svůj Mac a opravte zranitelnost, která poskytuje plný přístup ke špionážním aplikacím
- Google říká, že hackeři mají přístup k datům vašeho iPhonu už roky
- Hackeři mohou falešné zprávy WhatsApp, které vypadají, jako by byly od vás
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
