Munsterin ammattikorkeakoulun tutkijat löysivät haavoittuvuuksia Pretty Good Protection (PGP)- ja S/MIME-tekniikoista, joita käytetään sähköpostin salaamiseen. Ongelma piilee siinä, miten sähköpostiohjelmat käytä näitä laajennuksia HTML-pohjaisten sähköpostien salauksen purkamiseen. Yksityishenkilöitä ja yrityksiä kehotetaan poistamaan PGP ja/tai S/MIME käytöstä sähköpostiohjelmissaan toistaiseksi ja käyttämään erillistä sovellusta viestien salaukseen.
Kutsutaan EFAIL, haavoittuvuus väärinkäyttää "aktiivista" sisältöä, joka esitetään HTML-pohjaisissa sähköpostiviesteissä, kuten kuvia, sivutyylejä ja muuta etäpalvelimelle tallennettua ei-tekstisisältöä. Hyökkäyksen suorittaminen onnistuneesti edellyttää, että hakkerin hallussa on salattu sähköposti, olipa kyseessä salakuuntelu, sähköpostipalvelimeen murtautuminen ja niin edelleen.
Suositellut videot
Ensimmäinen hyökkäysmenetelmä on nimeltään "Direct Exfiltration", ja se käyttää väärin Apple Mailin, iOS Mailin ja Mozilla Thunderbirdin haavoittuvuuksia. Hyökkääjä luo HTML-pohjaisen sähköpostin, joka koostuu kolmesta osasta: kuvapyyntötunnisteen alusta, "varastetusta" PGP- tai S/MIME-salatekstistä ja kuvapyyntötunnisteen lopusta. Hyökkääjä lähettää sitten tämän tarkistetun sähköpostin uhrille.
Uhrin kohdalla sähköpostiohjelma purkaa ensin toisen osan salauksen ja yhdistää sitten kaikki kolme yhdeksi sähköpostiksi. Sitten se muuntaa kaiken URL-lomakkeeksi, joka alkaa hakkerin osoitteesta, ja lähettää kyseiseen URL-osoitteeseen pyynnön noutaa olematon kuva. Hakkeri vastaanottaa kuvapyynnön, joka sisältää koko salatun viestin.
Toista menetelmää kutsutaan "CBC/CFB Gadget Attackiksi", joka kuuluu PGP- ja S/MIME-määrittelyihin ja vaikuttaa kaikkiin sähköpostiohjelmiin. Tässä tapauksessa hyökkääjä paikantaa ensimmäisen salatun tekstin lohkon varastetusta sähköpostista ja lisää väärennetyn lohkon, joka on täytetty nolilla. Hyökkääjä lisää sitten kuvatunnisteita salattuun tekstiin ja luo yhden salatun rungon osan. Kun uhrin asiakas avaa viestin, selkeä teksti paljastetaan hakkerille.
Loppujen lopuksi, jos et käytä PGP tai S/MIME sähköpostin salaukseen, niin sinun ei tarvitse huolehtia mistään. Mutta näitä tekniikoita päivittäin käyttäviä henkilöitä, yrityksiä ja yrityksiä kehotetaan poistamaan käytöstä niihin liittyvät laajennukset ja käyttämään kolmannen osapuolen asiakasohjelmaa sähköpostien salaamiseen, kuten esim. Signaali (iOS, Android). Ja koska EFAIL luottaa HTML-pohjaisiin sähköposteihin, joten HTML-renderöinnin poistaminen käytöstä on myös suositeltavaa toistaiseksi.
"Tätä haavoittuvuutta voidaan käyttää aiemmin lähetettyjen salattujen sähköpostien sisällön salauksen purkamiseen. Koska olen käyttänyt PGP: tä vuodesta 1993, tämä kuulostaa baaadilta (sic),” F-Securen Mikko Hypponen kirjoitti twiittiin. Hän sanoi myöhemmin että ihmiset käyttävät salausta syystä: liikesalaisuuksista, luottamuksellisista tiedoista ja muusta.
Tutkijoiden mukaan "jotkut" sähköpostiohjelmien kehittäjät työskentelevät jo korjaustiedostojen parissa, jotka joko eliminoivat EFAILin kokonaan tai tekee hyväksikäytöistä vaikeampia toteuttaa. He sanovat, että PGP- ja S/MIME-standardit tarvitsevat päivityksen, mutta se "vie jonkin aikaa". Koko tekninen paperi voi lukea täältä.
Ongelma vuoti ensin Süddeutschen Zeitun sanomalehti ennen suunniteltua uutisvientikieltoa. Jälkeen EFF otti yhteyttä tutkijoihin Vahvistaakseen haavoittuvuudet tutkijat pakotettiin julkaisemaan tekninen paperi ennenaikaisesti.
Toimittajien suositukset
- Tämä kriittinen hyväksikäyttö voi antaa hakkereille mahdollisuuden ohittaa Macisi puolustukset
- Uudet COVID-19-tietojenkalasteluviestit voivat varastaa liikesalaisuuksiasi
- Päivitä Macisi nyt korjataksesi haavoittuvuus, joka antaa täyden pääsyn vakoilusovelluksiin
- Google sanoo, että hakkerit ovat päässeet käsiksi iPhone-tietoihisi vuosia
- Hakkerit voivat väärentää WhatsApp-viestejä, jotka näyttävät sinulta tulleilta
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
