חוקרים מאוניברסיטת מנסטר למדעים שימושיים גילו נקודות תורפה בטכנולוגיות Pretty Good Protection (PGP) ו-S/MIME המשמשות להצפנת דואר אלקטרוני. הבעיה טמונה באיך לקוחות אימייל השתמש בתוספים אלה כדי לפענח אימיילים מבוססי HTML. אנשים וחברות מוזמנים להשבית את PGP ו/או S/MIME בלקוחות הדוא"ל שלהם לעת עתה ולהשתמש באפליקציה נפרדת להצפנת הודעות.
נקרא EFAIL, הפגיעות עושה שימוש לרעה בתוכן "פעיל" המוצג בהודעות דוא"ל מבוססות HTML, כגון תמונות, סגנונות עמודים ותוכן אחר שאינו טקסטואלי המאוחסן בשרת מרוחק. כדי לבצע תקיפה מוצלחת, ההאקר חייב קודם כל להחזיק במייל המוצפן, בין אם זה באמצעות האזנה, פריצה לשרת דוא"ל וכדומה.
סרטונים מומלצים
שיטת ההתקפה הראשונה נקראת "Direct Exfiltration" ומשתמשת בנקודות תורפה ב-Apple Mail, iOS Mail ו-Mozilla Thunderbird. תוקף יוצר אימייל מבוסס HTML המורכב משלושה חלקים: התחלה של תג בקשת תמונה, טקסט צופן PGP או S/MIME "גנוב" וסוף תג בקשת תמונה. לאחר מכן התוקף שולח את האימייל המתוקן הזה אל הקורבן.
בקצהו של הקורבן, לקוח הדוא"ל מפענח תחילה את החלק השני ולאחר מכן משלב את שלושתם למייל אחד. לאחר מכן הוא ממיר הכל לטופס כתובת URL שמתחיל בכתובת ההאקר ושולח בקשה לאותה כתובת URL כדי לאחזר את התמונה הלא קיימת. ההאקר מקבל את בקשת התמונה, המכילה את כל ההודעה המפוענחת.
השיטה השנייה נקראת "CBC/CFB Gadget Attack", שנמצאת בתוך מפרטי PGP ו-S/MIME, ומשפיעה על כל לקוחות הדוא"ל. במקרה זה, התוקף מאתר את הבלוק הראשון של טקסט פשוט מוצפן במייל הגנוב ומוסיף בלוק מזויף מלא באפסים. לאחר מכן התוקף מחדיר תגיות תמונה לטקסט הפשוט המוצפן, ויוצר חלק גוף מוצפן בודד. כאשר הלקוח של הקורבן פותח את ההודעה, הטקסט הפשוט נחשף להאקר.
בסופו של דבר, אם אתה לא משתמש PGP או S/MIME להצפנת דואר אלקטרוני, אז אין מה לדאוג. אבל לאנשים פרטיים, חברות ותאגידים שמשתמשים בטכנולוגיות אלו על בסיס יומי מומלץ להשבית תוספים קשורים ולהשתמש בלקוח צד שלישי כדי להצפין מיילים, כגון אוֹת (iOS, דְמוּי אָדָם). ובגלל EFAIL מסתמך על אימיילים מבוססי HTML, מומלץ לעת עתה גם להשבית עיבוד HTML.
"הפגיעות הזו עשויה לשמש כדי לפענח את התוכן של מיילים מוצפנים שנשלחו בעבר. לאחר שהשתמשתי ב-PGP מאז 1993, זה נשמע באאד (sic)", Mikko Hypponen של F-Secure כתב בציוץ. הוא אמר מאוחר יותר שאנשים משתמשים בהצפנה מסיבה מסוימת: סודות עסקיים, מידע סודי ועוד.
לדברי החוקרים, "כמה" מפתחי לקוח אימייל כבר עובדים על תיקונים שמבטלים את EFAIL בסך הכל או מקשה על הביצוע. הם אומרים שתקני PGP ו-S/MIME זקוקים לעדכון, אבל זה "ייקח קצת זמן". העיתון הטכני המלא ניתן לקרוא כאן.
הבעיה דלפה לראשונה על ידי Süddeutschen Zeitun עיתון לפני אמברגו החדשות המתוכנן. לאחר EFF יצר קשר עם החוקרים כדי לאשר את נקודות התורפה, החוקרים נאלצו לפרסם את המאמר הטכני בטרם עת.
המלצות עורכים
- ניצול קריטי זה יכול לאפשר להאקרים לעקוף את ההגנות של ה-Mac שלך
- הודעות דוא"ל חדשות של התחזות על ידי COVID-19 עלולות לגנוב את סודות העסק שלך
- עדכן את ה-Mac שלך כעת כדי לתקן פגיעות המעניקה גישה מלאה לאפליקציות ריגול
- גוגל אומרת שהאקרים הצליחו לגשת לנתוני האייפון שלך במשך שנים
- האקרים יכולים לזייף הודעות WhatsApp שנראות כאילו הן ממך
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.