Istraživači sa Sveučilišta primijenjenih znanosti Munster otkrili su ranjivosti u tehnologijama Pretty Good Protection (PGP) i S/MIME koje se koriste za šifriranje e-pošte. Problem leži u tome kako klijenti e-pošte koristite ove dodatke za dešifriranje e-pošte temeljene na HTML-u. Pojedinci i tvrtke se potiču da za sada onemoguće PGP i/ili S/MIME u svojim klijentima e-pošte i koriste zasebnu aplikaciju za šifriranje poruka.
Zove se EFAIL, ranjivost zlorabi "aktivan" sadržaj prikazan unutar e-pošte temeljene na HTML-u, poput slika, stilova stranica i drugog netekstualnog sadržaja pohranjenog na udaljenom poslužitelju. Da bi uspješno izveo napad, haker prvo mora posjedovati šifriranu e-poštu, bilo da se radi o prisluškivanju, hakiranju poslužitelja e-pošte i tako dalje.
Preporučeni videozapisi
Prva metoda napada zove se "Direct Exfiltration" i zlorabi ranjivosti u Apple Mailu, iOS Mailu i Mozilla Thunderbirdu. Napadač stvara e-poštu temeljenu na HTML-u koja se sastoji od tri dijela: početak oznake zahtjeva za sliku, "ukradeni" PGP ili S/MIME šifrirani tekst i kraj oznake zahtjeva za sliku. Napadač zatim šalje ovu revidiranu e-poštu žrtvi.
Na strani žrtve, klijent e-pošte prvo dekriptira drugi dio, a zatim kombinira sva tri u jedan e-mail. Zatim sve pretvara u URL obrazac počevši s adresom hakera i šalje zahtjev na taj URL za dohvaćanje nepostojeće slike. Haker prima zahtjev za slikom koji sadrži cijelu dekriptiranu poruku.
Druga metoda se zove "CBC/CFB Gadget Attack", koja se nalazi unutar PGP i S/MIME specifikacija, utječući na sve klijente e-pošte. U ovom slučaju, napadač locira prvi blok šifriranog otvorenog teksta u ukradenoj e-pošti i dodaje lažni blok ispunjen nulama. Napadač zatim ubacuje oznake slike u šifrirani otvoreni tekst, stvarajući jedan šifrirani dio tijela. Kada žrtvin klijent otvori poruku, otvoreni tekst je izložen hakeru.
U konačnici, ako ne koristite PGP ili S/MIME za enkripciju e-pošte, nema razloga za brigu. Ali pojedincima, tvrtkama i korporacijama koji svakodnevno koriste ove tehnologije savjetuje se da onemoguće povezane dodatke i koriste klijent treće strane za šifriranje e-pošte, kao što je Signal (iOS, Android). I zato što EFAIL oslanja se na e-poštu temeljenu na HTML-u, za sada se također preporučuje onemogućavanje HTML renderiranja.
“Ova se ranjivost može koristiti za dešifriranje sadržaja šifrirane e-pošte poslane u prošlosti. Budući da koristim PGP od 1993., ovo zvuči baaad (sic)” Mikko Hypponen iz F-Securea napisao je u tweetu. On kasnije rečeno da ljudi koriste enkripciju s razlogom: poslovne tajne, povjerljive informacije i više.
Prema istraživačima, "neki" programeri klijenata e-pošte već rade na zakrpama koje ili eliminiraju EFAIL sveukupno ili čini podvige težim za postizanje. Kažu da standarde PGP i S/MIME treba ažurirati, ali to će "potrajati neko vrijeme". Kompletan tehnički dokument možete pročitati ovdje.
Problem je prvi procurio od strane Süddeutschen Zeitun novine prije zakazanog embarga na vijesti. Nakon što EFF je kontaktirao istraživače kako bi potvrdili ranjivosti, istraživači su bili prisiljeni prerano objaviti tehnički dokument.
Preporuke urednika
- Ova kritična eksploatacija mogla bi omogućiti hakerima da zaobiđu obranu vašeg Maca
- Nove phishing e-poruke za COVID-19 mogu ukrasti vaše poslovne tajne
- Ažurirajte svoj Mac odmah kako biste ispravili ranjivost koja daje puni pristup aplikacijama za špijuniranje
- Google kaže da su hakeri godinama mogli pristupiti podacima vašeg iPhonea
- Hakeri mogu lažirati WhatsApp poruke koje izgledaju kao da su od vas
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.