Pētnieki no Minsteres Lietišķo zinātņu universitātes atklāja ievainojamību Pretty Good Protection (PGP) un S/MIME tehnoloģijās, ko izmanto e-pasta šifrēšanai. Problēma slēpjas tajā, kā e-pasta klienti izmantojiet šos spraudņus, lai atšifrētu uz HTML balstītus e-pastus. Privātpersonas un uzņēmumi tiek aicināti pagaidām atspējot PGP un/vai S/MIME savos e-pasta klientos un izmantot atsevišķu lietojumprogrammu ziņojumu šifrēšanai.
Sauc EFAIL, ievainojamība ļaunprātīgi izmanto “aktīvo” saturu, kas tiek renderēts uz HTML balstītos e-pastos, piemēram, attēlus, lapu stilus un citu saturu, kas nav teksta saturs, kas tiek glabāts attālajā serverī. Lai veiksmīgi veiktu uzbrukumu, hakera rīcībā vispirms ir jābūt šifrētajam e-pastam neatkarīgi no tā, vai tas notiek noklausīšanās, e-pasta servera uzlaušanas un tā tālāk.
Ieteiktie videoklipi
Pirmā uzbrukuma metode tiek saukta par “tiešo eksfiltrāciju”, un tā ļaunprātīgi izmanto Apple Mail, iOS Mail un Mozilla Thunderbird ievainojamības. Uzbrucējs izveido uz HTML balstītu e-pasta ziņojumu, kas sastāv no trim daļām: attēla pieprasījuma taga sākuma, “nozagtā” PGP vai S/MIME šifrētā teksta un attēla pieprasījuma taga beigas. Pēc tam uzbrucējs nosūta šo pārskatīto e-pasta ziņojumu upurim.
Upura galā e-pasta klients vispirms atšifrē otro daļu un pēc tam apvieno visus trīs vienā e-pastā. Pēc tam tas visu pārvērš URL veidlapā, sākot ar hakera adresi, un uz šo URL nosūta pieprasījumu izgūt neesošu attēlu. Hakeris saņem attēla pieprasījumu, kas satur visu atšifrēto ziņojumu.
Otro metodi sauc par “CBC/CFB sīkrīku uzbrukumu”, kas atbilst PGP un S/MIME specifikācijām, ietekmējot visus e-pasta klientus. Šādā gadījumā uzbrucējs nozagtajā e-pastā atrod pirmo šifrētā vienkāršā teksta bloku un pievieno viltotu bloku, kas aizpildīts ar nullēm. Pēc tam uzbrucējs ievada attēla atzīmes šifrētajā vienkāršajā tekstā, izveidojot vienu šifrētu ķermeņa daļu. Kad upura klients atver ziņojumu, vienkāršais teksts tiek atklāts hakeram.
Galu galā, ja nelietojat PGP vai S/MIME e-pasta šifrēšanai, tad nav par ko uztraukties. Taču privātpersonām, uzņēmumiem un korporācijām, kas ikdienā izmanto šīs tehnoloģijas, ieteicams atspējot saistītos spraudņus un izmantot trešās puses klientu, lai šifrētu e-pastus, piemēram, Signāls (iOS, Android). Un tāpēc IZDEVĪBAS paļaujas uz HTML balstītiem e-pastiem, šobrīd ir ieteicams arī atspējot HTML renderēšanu.
"Šo ievainojamību var izmantot, lai atšifrētu pagātnē nosūtīto šifrēto e-pasta ziņojumu saturu. Izmantojot PGP kopš 1993. gada, tas izklausās baaad (sic),” Miko Hyponens no F-Secure rakstīja tviterī. Viņš vēlāk teica ka cilvēki izmanto šifrēšanu kāda iemesla dēļ: biznesa noslēpumi, konfidenciāla informācija un daudz kas cits.
Pēc pētnieku domām, “daži” e-pasta klientu izstrādātāji jau strādā pie ielāpiem, kas vai nu novērš EFAIL pavisam vai padara ekspluatācijas grūtāk izpildāmas. Viņi saka, ka PGP un S/MIME standarti ir jāatjaunina, taču tas “prasīs kādu laiku”. Pilns tehniskais dokuments var lasīt šeit.
Problēmu vispirms atklāja Süddeutschen Zeitun pirms plānotā ziņu embargo. Pēc tam, kad EZF sazinājās ar pētniekiem lai apstiprinātu ievainojamības, pētnieki bija spiesti priekšlaicīgi atbrīvot tehnisko dokumentu.
Redaktoru ieteikumi
- Šī kritiskā izmantošana var ļaut hakeriem apiet jūsu Mac aizsardzību
- Jauni Covid-19 pikšķerēšanas e-pasta ziņojumi var nozagt jūsu biznesa noslēpumus
- Atjauniniet savu Mac tūlīt, lai novērstu ievainojamību, kas nodrošina pilnīgu piekļuvi spiegošanas programmām
- Google saka, ka hakeri ir spējuši piekļūt jūsu iPhone datiem gadiem ilgi
- Hakeri var viltot WhatsApp ziņojumus, kas, šķiet, ir no jums
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
