Miunsterio taikomųjų mokslų universiteto mokslininkai aptiko „Pretty Good Protection“ (PGP) ir S/MIME technologijų, naudojamų el. paštui šifruoti, spragas. Problema slypi tame, kaip pašto klientai naudokite šiuos papildinius HTML pagrįstiems el. laiškams iššifruoti. Asmenys ir įmonės raginami kol kas išjungti PGP ir (arba) S/MIME savo el. pašto programose ir naudoti atskirą programą pranešimų šifravimui.
Skambino EFAIL, pažeidžiamumas piktnaudžiauja „aktyviu“ turiniu, pateikiamu HTML pagrindu veikiančiuose el. laiškuose, pvz., vaizdais, puslapių stiliais ir kitu netekstiniu turiniu, saugomu nuotoliniame serveryje. Norėdami sėkmingai įvykdyti ataką, įsilaužėlis pirmiausia turi turėti užšifruotą el. laišką, nesvarbu, ar tai būtų pasiklausymas, įsilaužimas į el. pašto serverį ir pan.
Rekomenduojami vaizdo įrašai
Pirmasis atakos metodas vadinamas „tiesiogine eksfiltracija“ ir piktnaudžiauja „Apple Mail“, „iOS Mail“ ir „Mozilla Thunderbird“ pažeidžiamumu. Užpuolikas sukuria HTML pagrįstą el. laišką, kurį sudaro trys dalys: vaizdo užklausos žymos pradžia, „pavogtas“ PGP arba S/MIME šifruotas tekstas ir vaizdo užklausos žymos pabaiga. Tada užpuolikas nusiunčia šį pataisytą el. laišką aukai.
Aukai el. pašto programa pirmiausia iššifruoja antrąją dalį, o tada sujungia visas tris į vieną el. Tada viskas konvertuojama į URL formą, pradedant įsilaužėlio adresu, ir į tą URL siunčiama užklausa gauti neegzistuojantį vaizdą. Įsilaužėlis gauna vaizdo užklausą, kurioje yra visas iššifruotas pranešimas.
Antrasis metodas vadinamas „CBC/CFB Gadget Attack“, kuris atitinka PGP ir S/MIME specifikacijas ir turi įtakos visoms el. pašto programoms. Tokiu atveju užpuolikas pavogtame el. laiške suranda pirmąjį užšifruoto paprasto teksto bloką ir prideda netikrą bloką, užpildytą nuliais. Tada užpuolikas įveda vaizdo žymas į užšifruotą paprastąjį tekstą, sukurdamas vieną užšifruotą kūno dalį. Kai aukos klientas atidaro pranešimą, įsilaužėliui matomas paprastas tekstas.
Galiausiai, jei nenaudosite PGP arba S/MIME el. pašto šifravimui, tada nėra ko jaudintis. Tačiau asmenims, įmonėms ir korporacijoms, kurios naudoja šias technologijas kasdien, patariama išjungti susijusius įskiepius ir naudoti trečiosios šalies klientą el. paštui užšifruoti, pvz. Signalas (iOS, Android). Ir todėl EFAIL remiasi HTML pagrįstais el. laiškais, todėl šiuo metu taip pat patartina išjungti HTML atvaizdavimą.
„Šis pažeidžiamumas gali būti naudojamas iššifruoti praeityje siųstų užšifruotų el. laiškų turinį. Naudojant PGP nuo 1993 m., tai skamba baaad (sic) „F-Secure“ Mikko Hypponenas rašė tviteryje. Jis vėliau pasakė kad žmonės naudoja šifravimą dėl priežasties: verslo paslapčių, konfidencialios informacijos ir kt.
Pasak mokslininkų, „kai kurie“ el. pašto klientų kūrėjai jau dirba su pataisomis, kurios pašalina EFAIL iš viso arba apsunkina išnaudojimus. Jie sako, kad PGP ir S/MIME standartus reikia atnaujinti, tačiau tai „užtruks šiek tiek laiko“. Visas techninis dokumentas galima paskaityti čia.
Problemą pirmiausia nutekino Süddeutschen Zeitun laikraštį prieš numatytą naujienų embargą. Po to, kai EFF susisiekė su mokslininkais Norėdami patvirtinti pažeidžiamumą, tyrėjai buvo priversti anksčiau laiko išleisti techninį dokumentą.
Redaktorių rekomendacijos
- Šis svarbus išnaudojimas gali leisti įsilaužėliams apeiti jūsų „Mac“ apsaugą
- Nauji COVID-19 sukčiavimo el. laiškai gali pavogti jūsų verslo paslaptis
- Atnaujinkite savo „Mac“ dabar, kad ištaisytumėte pažeidžiamumą, suteikiantį visišką prieigą prie šnipinėjimo programų
- „Google“ teigia, kad įsilaužėliai daugelį metų galėjo pasiekti jūsų „iPhone“ duomenis
- Piratai gali suklastoti „WhatsApp“ žinutes, kurios atrodo kaip jūsų
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
