मुंस्टर यूनिवर्सिटी ऑफ एप्लाइड साइंसेज के शोधकर्ताओं ने ईमेल को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली प्रिटी गुड प्रोटेक्शन (पीजीपी) और एस/एमआईएमई प्रौद्योगिकियों में कमजोरियों की खोज की। समस्या यह है कि कैसे ईमेल क्लाइंट HTML-आधारित ईमेल को डिक्रिप्ट करने के लिए इन प्लग-इन का उपयोग करें। व्यक्तियों और कंपनियों को फिलहाल अपने ईमेल क्लाइंट में PGP और/या S/MIME को अक्षम करने और संदेश एन्क्रिप्शन के लिए एक अलग एप्लिकेशन का उपयोग करने के लिए प्रोत्साहित किया जाता है।
EFAIL कहा जाता है, भेद्यता HTML-आधारित ईमेल के भीतर प्रदान की गई "सक्रिय" सामग्री का दुरुपयोग करती है, जैसे कि छवियां, पृष्ठ शैलियाँ और दूरस्थ सर्वर पर संग्रहीत अन्य गैर-पाठ सामग्री। किसी हमले को सफलतापूर्वक अंजाम देने के लिए, हैकर के पास पहले एन्क्रिप्टेड ईमेल होना चाहिए, चाहे वह छिपकर बात करना हो, ईमेल सर्वर को हैक करना आदि हो।
अनुशंसित वीडियो
पहले हमले के तरीके को "डायरेक्ट एक्सफिल्ट्रेशन" कहा जाता है और यह ऐप्पल मेल, आईओएस मेल और मोज़िला थंडरबर्ड में कमजोरियों का दुरुपयोग करता है। एक हमलावर एक HTML-आधारित ईमेल बनाता है जिसमें तीन भाग होते हैं: एक छवि अनुरोध टैग की शुरुआत, "चोरी" PGP या S/MIME सिफरटेक्स्ट, और एक छवि अनुरोध टैग का अंत। इसके बाद हमलावर पीड़ित को यह संशोधित ईमेल भेजता है।
पीड़ित की ओर से, ईमेल क्लाइंट पहले दूसरे भाग को डिक्रिप्ट करता है और फिर तीनों को एक ईमेल में जोड़ता है। इसके बाद यह हैकर के पते से शुरू होने वाली हर चीज को एक यूआरएल फॉर्म में बदल देता है और उस यूआरएल पर अस्तित्वहीन छवि को पुनः प्राप्त करने के लिए एक अनुरोध भेजता है। हैकर को छवि अनुरोध प्राप्त होता है, जिसमें संपूर्ण डिक्रिप्टेड संदेश होता है।
दूसरी विधि को "सीबीसी/सीएफबी गैजेट अटैक" कहा जाता है, जो पीजीपी और एस/एमआईएमई विनिर्देशों के भीतर रहता है, जो सभी ईमेल क्लाइंट को प्रभावित करता है। इस मामले में, हमलावर चुराए गए ईमेल में एन्क्रिप्टेड प्लेनटेक्स्ट के पहले ब्लॉक का पता लगाता है और शून्य से भरा एक नकली ब्लॉक जोड़ता है। फिर हमलावर एन्क्रिप्टेड प्लेनटेक्स्ट में छवि टैग इंजेक्ट करता है, जिससे एक एन्क्रिप्टेड बॉडी पार्ट बनता है। जब पीड़ित का ग्राहक संदेश खोलता है, तो सादा पाठ हैकर के सामने आ जाता है।
अंततः, यदि आप उपयोग नहीं करते हैं ईमेल एन्क्रिप्शन के लिए PGP या S/MIME, तो चिंता की कोई बात नहीं है। लेकिन जो व्यक्ति, कंपनियां और निगम दैनिक आधार पर इन तकनीकों का उपयोग करते हैं, उन्हें संबंधित प्लगइन्स को अक्षम करने और ईमेल को एन्क्रिप्ट करने के लिए तीसरे पक्ष के क्लाइंट का उपयोग करने की सलाह दी जाती है, जैसे कि संकेत (आईओएस, एंड्रॉयड). और क्योंकि EFAIL HTML-आधारित ईमेल पर निर्भर करता है, अभी के लिए HTML रेंडरिंग को अक्षम करने की भी सलाह दी जाती है।
“इस भेद्यता का उपयोग अतीत में भेजे गए एन्क्रिप्टेड ईमेल की सामग्री को डिक्रिप्ट करने के लिए किया जा सकता है। 1993 से पीजीपी का उपयोग करने के बाद, यह बहुत बुरा लगता है," एफ-सिक्योर के मिक्को हाइपोनेन एक ट्वीट में लिखा. वह बाद में कहा लोग एन्क्रिप्शन का उपयोग एक कारण से करते हैं: व्यावसायिक रहस्य, गोपनीय जानकारी, और बहुत कुछ।
शोधकर्ताओं के अनुसार, "कुछ" ईमेल क्लाइंट डेवलपर्स पहले से ही ऐसे पैच पर काम कर रहे हैं जो EFAIL को खत्म कर देते हैं पूरी तरह से या कारनामों को पूरा करना कठिन बना देता है। उनका कहना है कि पीजीपी और एस/एमआईएमई मानकों को अपडेट की जरूरत है, लेकिन इसमें "कुछ समय लगेगा।" संपूर्ण तकनीकी पेपर यहां पढ़ा जा सकता है.
समस्या सबसे पहले लीक हुई थी स्यूडडट्सचेन ज़िटुन निर्धारित समाचार प्रतिबंध से पहले समाचार पत्र। के बाद ईएफएफ ने शोधकर्ताओं से संपर्क किया कमजोरियों की पुष्टि करने के लिए, शोधकर्ताओं को तकनीकी पेपर समय से पहले जारी करने के लिए मजबूर होना पड़ा।
संपादकों की सिफ़ारिशें
- यह महत्वपूर्ण कारनामा हैकर्स को आपके मैक की सुरक्षा को दरकिनार करने दे सकता है
- नए COVID-19 फ़िशिंग ईमेल आपके व्यावसायिक रहस्य चुरा सकते हैं
- जासूसी ऐप्स तक पूर्ण पहुंच प्रदान करने वाली भेद्यता को ठीक करने के लिए अपने मैक को अभी अपडेट करें
- Google का कहना है कि हैकर्स वर्षों से आपके iPhone डेटा तक पहुंचने में सक्षम हैं
- हैकर्स ऐसे नकली व्हाट्सएप संदेश बना सकते हैं जो ऐसे प्रतीत होते हैं जैसे वे आपके द्वारा भेजे गए हों
अपनी जीवनशैली को उन्नत करेंडिजिटल ट्रेंड्स पाठकों को सभी नवीनतम समाचारों, मजेदार उत्पाद समीक्षाओं, व्यावहारिक संपादकीय और एक तरह की अनूठी झलक के साथ तकनीक की तेज़ गति वाली दुनिया पर नज़र रखने में मदद करता है।
