Forscher der Fachhochschule Münster haben Schwachstellen in den Technologien Pretty Good Protection (PGP) und S/MIME zur Verschlüsselung von E-Mails entdeckt. Das Problem liegt im Wie E-Mail-Clients Verwenden Sie diese Plug-ins, um HTML-basierte E-Mails zu entschlüsseln. Einzelpersonen und Unternehmen wird empfohlen, PGP und/oder S/MIME in ihren E-Mail-Clients vorerst zu deaktivieren und eine separate Anwendung zur Nachrichtenverschlüsselung zu verwenden.
Genannt EFAILDie Sicherheitslücke missbraucht „aktive“ Inhalte, die in HTML-basierten E-Mails gerendert werden, wie z. B. Bilder, Seitenstile und andere Nicht-Text-Inhalte, die auf einem Remote-Server gespeichert sind. Um einen Angriff erfolgreich durchzuführen, muss der Hacker zunächst im Besitz der verschlüsselten E-Mail sein, sei es durch Abhören, Hacken in einen E-Mail-Server usw.
Empfohlene Videos
Die erste Angriffsmethode heißt „Direct Exfiltration“ und nutzt Schwachstellen in Apple Mail, iOS Mail und Mozilla Thunderbird aus. Ein Angreifer erstellt eine HTML-basierte E-Mail, die aus drei Teilen besteht: dem Anfang eines Bildanforderungs-Tags, dem „gestohlenen“ PGP- oder S/MIME-Verschlüsselungstext und dem Ende eines Bildanforderungs-Tags. Der Angreifer sendet diese überarbeitete E-Mail dann an das Opfer.
Auf der Seite des Opfers entschlüsselt der E-Mail-Client zunächst den zweiten Teil und fügt dann alle drei in einer E-Mail zusammen. Anschließend wandelt es alles in ein URL-Format um, beginnend mit der Adresse des Hackers, und sendet eine Anfrage an diese URL, um das nicht vorhandene Bild abzurufen. Der Hacker erhält die Bildanfrage, die die gesamte entschlüsselte Nachricht enthält.
Die zweite Methode wird als „CBC/CFB Gadget Attack“ bezeichnet und ist in den PGP- und S/MIME-Spezifikationen verankert und betrifft alle E-Mail-Clients. In diesem Fall lokalisiert der Angreifer den ersten Block verschlüsselten Klartexts in der gestohlenen E-Mail und fügt einen gefälschten Block voller Nullen hinzu. Anschließend fügt der Angreifer Bild-Tags in den verschlüsselten Klartext ein und erstellt so einen einzelnen verschlüsselten Körperteil. Wenn der Client des Opfers die Nachricht öffnet, wird der Klartext dem Hacker zugänglich gemacht.
Letztendlich, wenn Sie es nicht verwenden PGP oder S/MIME für die E-Mail-Verschlüsselung, dann brauchen Sie sich keine Sorgen zu machen. Einzelpersonen, Unternehmen und Konzernen, die diese Technologien täglich nutzen, wird jedoch empfohlen, entsprechende Plugins zu deaktivieren und einen Drittanbieter-Client zum Verschlüsseln von E-Mails zu verwenden, z Signal (iOS, Android). Und weil EFAIL Da E-Mails auf HTML-basierten E-Mails basieren, wird vorerst auch empfohlen, die HTML-Wiedergabe zu deaktivieren.
„Diese Sicherheitslücke könnte genutzt werden, um den Inhalt verschlüsselter E-Mails zu entschlüsseln, die in der Vergangenheit gesendet wurden. Nachdem ich PGP seit 1993 verwende, klingt das baaad (sic)“ Mikko Hypponen von F-Secure schrieb in einem Tweet. Er später gesagt dass Menschen Verschlüsselung aus einem bestimmten Grund verwenden: Geschäftsgeheimnisse, vertrauliche Informationen und mehr.
Den Forschern zufolge arbeiten „einige“ E-Mail-Client-Entwickler bereits an Patches, die entweder EFAIL eliminieren ganz oder gar macht es schwieriger, die Exploits zu vollbringen. Sie sagen, dass die PGP- und S/MIME-Standards ein Update benötigen, aber das „wird einige Zeit dauern.“ Das vollständige technische Dokument kann hier nachgelesen werden.
Das Problem wurde zuerst durchgesickert Süddeutsche Zeitun Zeitung vor dem geplanten Nachrichtenembargo. Nach dem EFF kontaktierte die Forscher Um die Schwachstellen zu bestätigen, waren die Forscher gezwungen, das technische Dokument vorzeitig zu veröffentlichen.
Empfehlungen der Redaktion
- Dieser kritische Exploit könnte es Hackern ermöglichen, die Abwehrmaßnahmen Ihres Mac zu umgehen
- Neue COVID-19-Phishing-E-Mails können Ihre Geschäftsgeheimnisse stehlen
- Aktualisieren Sie jetzt Ihren Mac, um die Sicherheitslücke zu schließen, die Spionage-Apps vollen Zugriff gewährt
- Laut Google konnten Hacker schon seit Jahren auf Ihre iPhone-Daten zugreifen
- Hacker können WhatsApp-Nachrichten fälschen, die den Anschein erwecken, als kämen sie von Ihnen
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
