Ερευνητές στο Πανεπιστήμιο Εφαρμοσμένων Επιστημών του Munster ανακάλυψαν τρωτά σημεία στις τεχνολογίες Pretty Good Protection (PGP) και S/MIME που χρησιμοποιούνται για την κρυπτογράφηση email. Το πρόβλημα έγκειται στο πώς πελάτες email χρησιμοποιήστε αυτά τα πρόσθετα για να αποκρυπτογραφήσετε μηνύματα ηλεκτρονικού ταχυδρομείου που βασίζονται σε HTML. Τα άτομα και οι εταιρείες ενθαρρύνονται να απενεργοποιήσουν το PGP ή/και το S/MIME στα προγράμματα-πελάτες email τους προς το παρόν και να χρησιμοποιούν μια ξεχωριστή εφαρμογή για κρυπτογράφηση μηνυμάτων.
Ονομάζεται EFAIL, η ευπάθεια καταχράται το «ενεργό» περιεχόμενο που αποδίδεται σε μηνύματα ηλεκτρονικού ταχυδρομείου που βασίζονται σε HTML, όπως εικόνες, στυλ σελίδας και άλλο περιεχόμενο χωρίς κείμενο που είναι αποθηκευμένο σε έναν απομακρυσμένο διακομιστή. Για να πραγματοποιήσει επιτυχώς μια επίθεση, ο χάκερ πρέπει πρώτα να έχει στην κατοχή του το κρυπτογραφημένο email, είτε μέσω υποκλοπής, είτε μέσω εισβολής σε διακομιστή email κ.λπ.
Προτεινόμενα βίντεο
Η πρώτη μέθοδος επίθεσης ονομάζεται "Direct Exfiltration" και καταχράται ευπάθειες στο Apple Mail, στο iOS Mail και στο Mozilla Thunderbird. Ένας εισβολέας δημιουργεί ένα email που βασίζεται σε HTML που αποτελείται από τρία μέρη: την αρχή μιας ετικέτας αιτήματος εικόνας, το κρυπτογραφημένο κείμενο PGP ή S/MIME και το τέλος μιας ετικέτας αιτήματος εικόνας. Στη συνέχεια, ο εισβολέας στέλνει αυτό το αναθεωρημένο email στο θύμα.
Στο τέλος του θύματος, ο πελάτης email αποκρυπτογραφεί πρώτα το δεύτερο μέρος και στη συνέχεια συνδυάζει και τα τρία σε ένα email. Στη συνέχεια, μετατρέπει τα πάντα σε μια φόρμα URL που ξεκινά από τη διεύθυνση του χάκερ και στέλνει ένα αίτημα σε αυτό το URL για ανάκτηση της ανύπαρκτης εικόνας. Ο χάκερ λαμβάνει το αίτημα εικόνας, το οποίο περιέχει ολόκληρο το αποκρυπτογραφημένο μήνυμα.
Η δεύτερη μέθοδος ονομάζεται "CBC/CFB Gadget Attack", η οποία εμπίπτει στις προδιαγραφές PGP και S/MIME, επηρεάζοντας όλους τους πελάτες email. Σε αυτήν την περίπτωση, ο εισβολέας εντοπίζει το πρώτο μπλοκ κρυπτογραφημένου απλού κειμένου στο κλεμμένο email και προσθέτει ένα ψεύτικο μπλοκ γεμάτο με μηδενικά. Στη συνέχεια, ο εισβολέας εισάγει ετικέτες εικόνας στο κρυπτογραφημένο απλό κείμενο, δημιουργώντας ένα μόνο κρυπτογραφημένο μέρος του σώματος. Όταν ο πελάτης του θύματος ανοίγει το μήνυμα, το απλό κείμενο εκτίθεται στον χάκερ.
Τελικά, αν δεν χρησιμοποιείτε PGP ή S/MIME για κρυπτογράφηση email, τότε δεν υπάρχει τίποτα να ανησυχείτε. Ωστόσο, τα άτομα, οι εταιρείες και οι εταιρείες που χρησιμοποιούν αυτές τις τεχνολογίες σε καθημερινή βάση συνιστάται να απενεργοποιούν τις σχετικές προσθήκες και να χρησιμοποιούν έναν πελάτη τρίτου μέρους για την κρυπτογράφηση email, όπως π.χ. Σήμα (iOS, Android). Και επειδή EFAIL βασίζεται σε email που βασίζονται σε HTML, η απενεργοποίηση της απόδοσης HTML συνιστάται επίσης προς το παρόν.
«Αυτή η ευπάθεια μπορεί να χρησιμοποιηθεί για την αποκρυπτογράφηση των περιεχομένων των κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου που έχουν σταλεί στο παρελθόν. Έχοντας χρησιμοποιήσει το PGP από το 1993, αυτό ακούγεται baaad (sic)». Ο Mikko Hypponen της F-Secure έγραψε σε tweet. Αυτός είπε αργότερα ότι οι άνθρωποι χρησιμοποιούν κρυπτογράφηση για έναν λόγο: επιχειρηματικά μυστικά, εμπιστευτικές πληροφορίες και πολλά άλλα.
Σύμφωνα με τους ερευνητές, «ορισμένοι» προγραμματιστές πελατών email εργάζονται ήδη σε ενημερώσεις κώδικα που είτε εξαλείφουν το EFAIL συνολικά ή κάνει τα κατορθώματα πιο δύσκολο να επιτευχθούν. Λένε ότι τα πρότυπα PGP και S/MIME χρειάζονται ενημέρωση, αλλά αυτό «θα πάρει κάποιο χρόνο». Το πλήρες τεχνικό έγγραφο μπορείτε να διαβάσετε εδώ.
Το πρόβλημα διέρρευσε αρχικά από το Süddeutschen Zeitun εφημερίδα πριν από το προγραμματισμένο εμπάργκο ειδήσεων. Μετά το Το EFF επικοινώνησε με τους ερευνητές Για να επιβεβαιώσουν τα τρωτά σημεία, οι ερευνητές αναγκάστηκαν να κυκλοφορήσουν το τεχνικό έγγραφο πρόωρα.
Συστάσεις των συντακτών
- Αυτή η κρίσιμη εκμετάλλευση θα μπορούσε να επιτρέψει στους χάκερ να παρακάμψουν τις άμυνες του Mac σας
- Νέα μηνύματα ηλεκτρονικού ψαρέματος για τον COVID-19 ενδέχεται να κλέψουν τα επαγγελματικά σας μυστικά
- Ενημερώστε το Mac σας τώρα για να διορθώσετε την ευπάθεια που παρέχει πλήρη πρόσβαση σε εφαρμογές κατασκοπείας
- Η Google λέει ότι οι χάκερ έχουν πρόσβαση στα δεδομένα του iPhone σας εδώ και χρόνια
- Οι χάκερ μπορούν να παραποιήσουν μηνύματα WhatsApp που φαίνονται σαν να προέρχονται από εσάς
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
