Munsteri rakenduskõrgkooli teadlased avastasid e-kirjade krüptimiseks kasutatavate tehnoloogiate Pretty Good Protection (PGP) ja S/MIME haavatavused. Probleem seisneb selles, kuidas meilikliendid kasutage neid pistikprogramme HTML-põhiste meilide dekrüpteerimiseks. Eraisikutel ja ettevõtetel soovitatakse praegu oma meiliklientides PGP ja/või S/MIME keelata ning kasutada sõnumite krüptimiseks eraldi rakendust.
Nimetatakse EFAIL, kuritarvitab haavatavus HTML-põhistes meilides renderdatud "aktiivset" sisu, näiteks pilte, lehestiile ja muud kaugserverisse salvestatud mittetekstilist sisu. Rünnaku edukaks läbiviimiseks peab häkker esmalt omama krüpteeritud e-kirja, olgu see siis pealtkuulamise, meiliserverisse häkkimise või muu sellise kaudu.
Soovitatavad videod
Esimest ründemeetodit nimetatakse "Otseseks eksfiltreerimiseks" ja see kuritarvitab Apple Maili, iOS Maili ja Mozilla Thunderbirdi turvaauke. Ründaja loob HTML-põhise meili, mis koosneb kolmest osast: pildipäringu sildi algus, "varastatud" PGP või S/MIME šifrtekst ja pildipäringu märgendi lõpp. Seejärel saadab ründaja selle muudetud meili ohvrile.
Ohvri poolel dekrüpteerib e-posti klient esmalt teise osa ja ühendab seejärel kõik kolm üheks meiliks. Seejärel teisendab see kõik URL-i vormiks, mis algab häkkeri aadressiga, ja saadab sellele URL-ile taotluse olematu pildi toomiseks. Häkker saab pildipäringu, mis sisaldab kogu dekrüpteeritud sõnumit.
Teist meetodit nimetatakse "CBC/CFB Gadget Attackiks", mis asub PGP ja S/MIME spetsifikatsioonides, mõjutades kõiki meilikliente. Sel juhul otsib ründaja varastatud meilis esimese krüptitud lihtteksti ploki ja lisab nullidega täidetud võltsploki. Seejärel sisestab ründaja krüptitud tavateksti pildisildid, luues ühe krüptitud kehaosa. Kui ohvri klient sõnumi avab, on tavatekst häkkerile avatud.
Lõppkokkuvõttes, kui te ei kasuta PGP või S/MIME meili krüptimiseks, siis pole millegi pärast muretsemiseks. Kuid üksikisikutel, ettevõtetel ja ettevõtetel, kes kasutavad neid tehnoloogiaid igapäevaselt, soovitatakse keelata seotud pistikprogrammid ja kasutada meilide krüptimiseks kolmanda osapoole klienti, näiteks Signaal (iOS, Android). Ja sellepärast EFAIL tugineb HTML-põhistele meilidele, praegu on soovitatav ka HTML-i renderdamine keelata.
"Seda haavatavust võidakse kasutada varem saadetud krüpteeritud meilide sisu dekrüpteerimiseks. Olles kasutanud PGP-d aastast 1993, kõlab see baaad (sic),” F-Secure'i Mikko Hypponen kirjutas säutsus. Ta ütles hiljem et inimesed kasutavad krüptimist mingil põhjusel: ärisaladused, konfidentsiaalne teave ja palju muud.
Teadlaste sõnul töötavad "mõned" meiliklientide arendajad juba paikade kallal, mis kas kõrvaldavad EFAIL-i üldse või teeb ärakasutamise raskemaks. Nad ütlevad, et PGP ja S/MIME standardid vajavad värskendamist, kuid see "võtab veidi aega". Täielik tehniline paber saab lugeda siit.
Probleemi lekkis kõigepealt Süddeutschen Zeitun ajaleht enne plaanitud uudisteembargot. Pärast EFF võttis teadlastega ühendust haavatavuste kinnitamiseks olid teadlased sunnitud tehnilise paberi enneaegselt välja andma.
Toimetajate soovitused
- See kriitiline ärakasutamine võib lasta häkkeritel teie Maci kaitsemehhanismidest mööda minna
- Uued COVID-19 andmepüügimeilid võivad varastada teie ärisaladusi
- Värskendage oma Maci kohe, et parandada haavatavus, mis annab täieliku juurdepääsu nuhkimisrakendustele
- Google ütleb, et häkkeritel on olnud juurdepääs teie iPhone'i andmetele juba aastaid
- Häkkerid võivad võltsida WhatsAppi sõnumeid, mis tunduvad olevat teie käest
Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.