A Munster University of Applied Sciences kutatói az e-mailek titkosítására használt Pretty Good Protection (PGP) és S/MIME technológiák sebezhetőségét fedezték fel. A probléma a hogyanban rejlik e-mail kliensek használja ezeket a beépülő modulokat a HTML-alapú e-mailek visszafejtésére. A magánszemélyeket és a vállalatokat arra biztatjuk, hogy egyelőre tiltsák le a PGP-t és/vagy az S/MIME-t levelezőprogramjukban, és használjanak külön alkalmazást az üzenetek titkosítására.
EFAIL néven, a sérülékenység visszaél a HTML-alapú e-mailekben megjelenített „aktív” tartalommal, például képekkel, oldalstílusokkal és más távoli szerveren tárolt nem szöveges tartalommal. A támadás sikeres végrehajtásához a hackernek először birtokában kell lennie a titkosított e-mailnek, legyen szó lehallgatásról, e-mail szerver feltöréséről stb.
Ajánlott videók
Az első támadási módszer az úgynevezett „Direct Exfiltration”, és visszaél az Apple Mail, az iOS Mail és a Mozilla Thunderbird sebezhetőségeivel. A támadó egy HTML-alapú e-mailt hoz létre, amely három részből áll: egy képkérési címke eleje, az „ellopott” PGP vagy S/MIME titkosított szöveg, valamint egy képkérési címke vége. A támadó ezt követően elküldi ezt az átdolgozott e-mailt az áldozatnak.
Az áldozat végén az e-mail kliens először dekódolja a második részt, majd mindhárom üzenetet egyetlen e-mailben egyesíti. Ezután mindent egy URL-űrlapra alakít át, amely a hacker címével kezdődik, és kérést küld erre az URL-re a nem létező kép lekérésére. A hacker megkapja a képkérést, amely a teljes visszafejtett üzenetet tartalmazza.
A második módszer az úgynevezett „CBC/CFB Gadget Attack”, amely a PGP és S/MIME specifikációkon belül található, és minden levelezőprogramot érint. Ebben az esetben a támadó megkeresi a titkosított egyszerű szöveg első blokkját az ellopott e-mailben, és hozzáad egy nullákkal kitöltött hamis blokkot. A támadó ezután képcímkéket fecskendez be a titkosított egyszerű szövegbe, így egyetlen titkosított testrészt hoz létre. Amikor az áldozat ügyfele megnyitja az üzenetet, a nyílt szöveg láthatóvá válik a hacker számára.
Végül, ha nem használod PGP vagy S/MIME az e-mailek titkosításához, akkor nincs ok az aggodalomra. Az ilyen technológiákat napi rendszerességgel használó magánszemélyeknek, cégeknek és vállalatoknak azonban azt tanácsoljuk, hogy tiltsák le a kapcsolódó beépülő modulokat, és használjanak harmadik féltől származó klienseket az e-mailek titkosításához, mint pl. Jel (iOS, Android). És mert EFAIL HTML-alapú e-mailekre támaszkodik, egyelőre a HTML-megjelenítés letiltása is javasolt.
„Ez a sérülékenység felhasználható a múltban küldött titkosított e-mailek tartalmának visszafejtésére. Mivel 1993 óta használom a PGP-t, ez így hangzik. Mikko Hypponen, az F-Secure írta egy tweetben. Ő később mondta hogy az emberek valamilyen okból használják a titkosítást: üzleti titkok, bizalmas információk stb.
A kutatók szerint „egyes” e-mail kliens-fejlesztők már dolgoznak olyan javításokon, amelyek vagy megszüntetik az EFAIL-t összesen ill megnehezíti a kihasználásokat. Azt mondják, a PGP és az S/MIME szabványok frissítésre szorulnak, de ez "eltart egy ideig". A teljes műszaki papír itt olvasható.
A problémát először a Süddeutschen Zeitun újság a tervezett hírembargó előtt. Azután Az EFF felvette a kapcsolatot a kutatókkal a sebezhetőség megerősítése érdekében a kutatók kénytelenek voltak idő előtt kiadni a műszaki papírt.
Szerkesztői ajánlások
- Ez a kritikus kizsákmányolás lehetővé teheti a hackerek számára, hogy megkerüljék a Mac védelmét
- Az új COVID-19 adathalász e-mailek ellophatják üzleti titkait
- Frissítse Mac számítógépét most, hogy kijavítsa a sérülékenységet, amely teljes hozzáférést biztosít a kémprogramokhoz
- A Google szerint a hackerek évek óta hozzáférhetnek az iPhone-adatokhoz
- A hackerek hamisíthatnak olyan WhatsApp-üzeneteket, amelyek úgy tűnnek, mintha Öntől származnának
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
