Forskere ved Munster University of Applied Sciences opdagede sårbarheder i Pretty Good Protection (PGP) og S/MIME-teknologierne, der bruges til at kryptere e-mail. Problemet ligger i hvordan e-mail-klienter bruge disse plug-ins til at dekryptere HTML-baserede e-mails. Enkeltpersoner og virksomheder opfordres til at deaktivere PGP og/eller S/MIME i deres e-mail-klienter indtil videre og bruge et separat program til kryptering af beskeder.
Kaldes EFAIL, misbruger sårbarheden "aktivt" indhold gengivet i HTML-baserede e-mails, såsom billeder, sidestile og andet ikke-tekstindhold, der er gemt på en ekstern server. For at kunne udføre et angreb skal hackeren først have den krypterede e-mail i besiddelse, uanset om det er gennem aflytning, hacking ind på en e-mail-server og så videre.
Anbefalede videoer
Den første angrebsmetode kaldes "Direct Exfiltration" og misbruger sårbarheder i Apple Mail, iOS Mail og Mozilla Thunderbird. En angriber opretter en HTML-baseret e-mail, der består af tre dele: starten på et billedanmodningstag, den "stjålne" PGP- eller S/MIME-chiffertekst og slutningen af et billedanmodningstag. Angriberen sender derefter denne reviderede e-mail til offeret.
I offerets ende dekrypterer e-mail-klienten først den anden del og kombinerer derefter alle tre i én e-mail. Det konverterer derefter alt til en URL-formular, der starter med hackerens adresse og sender en anmodning til den URL for at hente det ikke-eksisterende billede. Hackeren modtager billedanmodningen, som indeholder hele den dekrypterede besked.
Den anden metode kaldes "CBC/CFB Gadget Attack", som ligger inden for PGP- og S/MIME-specifikationerne, hvilket påvirker alle e-mail-klienter. I dette tilfælde finder angriberen den første blok med krypteret klartekst i den stjålne e-mail og tilføjer en falsk blok fyldt med nuller. Angriberen injicerer derefter billedmærker i den krypterede almindelige tekst og skaber en enkelt krypteret kropsdel. Når ofrets klient åbner beskeden, bliver klarteksten udsat for hackeren.
I sidste ende, hvis du ikke bruger PGP eller S/MIME til e-mail-kryptering, så er der ikke noget at bekymre sig om. Men enkeltpersoner, virksomheder og virksomheder, der bruger disse teknologier på daglig basis, rådes til at deaktivere relaterede plugins og bruge en tredjepartsklient til at kryptere e-mails, som f.eks. Signal (iOS, Android). Og fordi EFAIL er afhængig af HTML-baserede e-mails, tilrådes det også at deaktivere HTML-gengivelse indtil videre.
"Denne sårbarhed kan blive brugt til at dekryptere indholdet af krypterede e-mails sendt i fortiden. Efter at have brugt PGP siden 1993, lyder det baaad (sic),” F-Secures Mikko Hypponen skrev i et tweet. Han sagde senere at folk bruger kryptering af en grund: Forretningshemmeligheder, fortrolige oplysninger og meget mere.
Ifølge forskerne arbejder "nogle" e-mailklientudviklere allerede på patches, der enten eliminerer EFAIL helt eller gør bedrifterne sværere at udføre. De siger, at PGP- og S/MIME-standarderne har brug for en opdatering, men det "vil tage noget tid." Det fulde tekniske papir kan læses her.
Problemet blev først lækket af Süddeutschen Zeitun avisen forud for den planlagte nyhedsembargo. Efter EFF kontaktede forskerne for at bekræfte sårbarhederne blev forskerne tvunget til at frigive det tekniske papir før tid.
Redaktørens anbefalinger
- Denne kritiske udnyttelse kan lade hackere omgå din Macs forsvar
- Nye COVID-19-phishing-e-mails kan stjæle dine forretningshemmeligheder
- Opdater din Mac nu for at rette en sårbarhed, der giver fuld adgang til spioneringsapps
- Google siger, at hackere har været i stand til at få adgang til dine iPhone-data i årevis
- Hackere kan forfalske WhatsApp-beskeder, der ser ud til at være fra dig
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
