Naukowcy z Uniwersytetu Nauk Stosowanych w Munster odkryli luki w technologiach Pretty Good Protection (PGP) i S/MIME używanych do szyfrowania wiadomości e-mail. Problem polega na tym, jak klienci poczty e-mail użyj tych wtyczek do odszyfrowania wiadomości e-mail w formacie HTML. Zachęcamy osoby prywatne i firmy do wyłączenia na razie protokołu PGP i/lub S/MIME w swoich klientach poczty e-mail i korzystania z osobnej aplikacji do szyfrowania wiadomości.
Nazywa się EFAILluka wykorzystuje „aktywną” zawartość wyświetlaną w wiadomościach e-mail w formacie HTML, taką jak obrazy, style stron i inna zawartość nietekstowa przechowywana na zdalnym serwerze. Aby pomyślnie przeprowadzić atak, haker musi najpierw posiadać zaszyfrowaną wiadomość e-mail, niezależnie od tego, czy dzieje się to poprzez podsłuchiwanie, włamanie na serwer poczty e-mail itd.
Polecane filmy
Pierwsza metoda ataku nazywa się „Direct Exfiltration” i wykorzystuje luki w zabezpieczeniach Apple Mail, iOS Mail i Mozilla Thunderbird. Osoba atakująca tworzy wiadomość e-mail w formacie HTML składającą się z trzech części: początku znacznika żądania obrazu, „skradzionego” tekstu zaszyfrowanego PGP lub S/MIME i końca znacznika żądania obrazu. Następnie osoba atakująca wysyła poprawioną wiadomość e-mail do ofiary.
Po stronie ofiary klient poczty e-mail najpierw odszyfrowuje drugą część, a następnie łączy wszystkie trzy w jedną wiadomość e-mail. Następnie konwertuje wszystko do postaci adresu URL rozpoczynającego się od adresu hakera i wysyła żądanie pod ten adres URL w celu pobrania nieistniejącego obrazu. Haker otrzymuje żądanie obrazu, które zawiera całą odszyfrowaną wiadomość.
Druga metoda nazywa się „atakiem gadżetowym CBC/CFB” i opiera się na specyfikacjach PGP i S/MIME i wpływa na wszystkich klientów poczty e-mail. W tym przypadku osoba atakująca lokalizuje pierwszy blok zaszyfrowanego tekstu jawnego w skradzionej wiadomości e-mail i dodaje fałszywy blok wypełniony zerami. Następnie osoba atakująca wstawia znaczniki obrazów do zaszyfrowanego tekstu jawnego, tworząc pojedynczą zaszyfrowaną część ciała. Kiedy klient ofiary otwiera wiadomość, hakerowi udostępniany jest zwykły tekst.
Ostatecznie, jeśli nie użyjesz PGP lub S/MIME do szyfrowania wiadomości e-mail, to nie ma się czym martwić. Jednak osobom, firmom i korporacjom korzystającym na co dzień z tych technologii zaleca się wyłączenie powiązanych wtyczek i korzystanie z klienta zewnętrznego do szyfrowania wiadomości e-mail, np. Sygnał (iOS, Android). I ponieważ EFAIL opiera się na wiadomościach e-mail opartych na formacie HTML, na razie zaleca się również wyłączenie renderowania HTML.
„Ta luka może zostać wykorzystana do odszyfrowania zawartości zaszyfrowanych wiadomości e-mail wysłanych w przeszłości. Używając PGP od 1993 roku, brzmi to baaardzo (sic!)” Mikko Hypponen z F-Secure napisał w tweecie. On później powiedział że ludzie używają szyfrowania z jakiegoś powodu: tajemnice handlowe, informacje poufne i nie tylko.
Według badaczy „niektórzy” twórcy klientów poczty e-mail pracują już nad łatkami, które albo eliminują EFAIL całkowicie lub sprawia, że exploity są trudniejsze do wykonania. Mówią, że standardy PGP i S/MIME wymagają aktualizacji, ale „to zajmie trochę czasu”. Pełny dokument techniczny można przeczytać tutaj.
Problem został po raz pierwszy ujawniony przez Süddeutschen Zeitun gazetę przed planowanym embargiem informacyjnym. Po EFF skontaktował się z badaczami aby potwierdzić luki, badacze byli zmuszeni przedwcześnie opublikować dokument techniczny.
Zalecenia redaktorów
- Ten krytyczny exploit może pozwolić hakerom ominąć zabezpieczenia komputera Mac
- Nowe e-maile phishingowe dotyczące wirusa COVID-19 mogą wykraść Twoje tajemnice biznesowe
- Zaktualizuj teraz swojego Maca, aby naprawić lukę zapewniającą pełny dostęp do aplikacji szpiegowskich
- Google twierdzi, że hakerzy od lat mogą uzyskać dostęp do danych Twojego iPhone'a
- Hakerzy mogą sfałszować wiadomości WhatsApp, które wyglądają, jakby pochodziły od Ciebie
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.