I ricercatori dell'Università di Scienze Applicate di Munster hanno scoperto vulnerabilità nelle tecnologie Pretty Good Protection (PGP) e S/MIME utilizzate per crittografare la posta elettronica. Il problema risiede nel come client di posta elettronica utilizzare questi plug-in per decrittografare le e-mail basate su HTML. Gli individui e le aziende sono incoraggiati a disabilitare per il momento PGP e/o S/MIME nei propri client di posta elettronica e a utilizzare un'applicazione separata per la crittografia dei messaggi.
Chiamato ERRORE, la vulnerabilità sfrutta i contenuti "attivi" visualizzati all'interno di e-mail basate su HTML, come immagini, stili di pagina e altri contenuti non testuali archiviati su un server remoto. Per eseguire con successo un attacco, l’hacker deve prima entrare in possesso dell’e-mail crittografata, sia attraverso l’intercettazione, l’hacking in un server di posta elettronica e così via.
Video consigliati
Il primo metodo di attacco si chiama “Direct Exfiltration” e sfrutta le vulnerabilità di Apple Mail, iOS Mail e Mozilla Thunderbird. Un utente malintenzionato crea un'e-mail basata su HTML composta da tre parti: l'inizio di un tag di richiesta di immagine, il testo cifrato PGP o S/MIME "rubato" e la fine di un tag di richiesta di immagine. L'aggressore invia quindi questa email modificata alla vittima.
Dal lato della vittima, il client di posta elettronica decodifica prima la seconda parte e poi le unisce tutte e tre in un’unica email. Quindi converte tutto in un modulo URL che inizia con l'indirizzo dell'hacker e invia una richiesta a quell'URL per recuperare l'immagine inesistente. L'hacker riceve la richiesta dell'immagine, che contiene l'intero messaggio decrittografato.
Il secondo metodo è chiamato “CBC/CFB Gadget Attack”, che rientra nelle specifiche PGP e S/MIME e colpisce tutti i client di posta elettronica. In questo caso, l'aggressore individua il primo blocco di testo in chiaro crittografato nell'e-mail rubata e aggiunge un blocco falso pieno di zeri. L'aggressore inserisce quindi i tag immagine nel testo in chiaro crittografato, creando un'unica parte del corpo crittografata. Quando il client della vittima apre il messaggio, il testo in chiaro viene esposto all’hacker.
In definitiva, se non usi PGP o S/MIME per la crittografia delle e-mail, non c'è nulla di cui preoccuparsi. Ma si consiglia a individui, aziende e aziende che utilizzano queste tecnologie quotidianamente di disabilitare i plug-in correlati e utilizzare un client di terze parti per crittografare le e-mail, come Segnale (iOS, Androide). E perché ERRORE si basa su e-mail basate su HTML, per il momento è consigliabile anche disabilitare il rendering HTML.
“Questa vulnerabilità potrebbe essere utilizzata per decrittografare il contenuto di e-mail crittografate inviate in passato. Avendo usato PGP dal 1993, sembra baaad (sic)”, Mikko Hypponen di F-Secure ha scritto in un tweet. Lui poi detto che le persone utilizzano la crittografia per un motivo: segreti aziendali, informazioni riservate e altro ancora.
Secondo i ricercatori, "alcuni" sviluppatori di client di posta stanno già lavorando su patch che eliminino EFAIL del tutto o rende gli exploit più difficili da realizzare. Dicono che gli standard PGP e S/MIME necessitano di un aggiornamento, ma ciò “richiederà del tempo”. La scheda tecnica completa può essere letto qui.
Il problema è stato trapelato per la prima volta da Suddeutschen Zeitun giornale prima del previsto embargo sulle notizie. Dopo il L'EFF ha contattato i ricercatori per confermare le vulnerabilità, i ricercatori sono stati costretti a rilasciare prematuramente il documento tecnico.
Raccomandazioni degli editori
- Questo exploit critico potrebbe consentire agli hacker di aggirare le difese del tuo Mac
- Le nuove e-mail di phishing relative al COVID-19 potrebbero rubare i tuoi segreti aziendali
- Aggiorna subito il tuo Mac per correggere la vulnerabilità che dà pieno accesso alle app di spionaggio
- Google afferma che gli hacker sono in grado di accedere ai dati del tuo iPhone da anni
- Gli hacker possono falsificare i messaggi WhatsApp che sembrano provenire da te
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
