Cercetătorii de la Universitatea de Științe Aplicate din Munster au descoperit vulnerabilități în tehnologiile Pretty Good Protection (PGP) și S/MIME utilizate pentru a cripta e-mailul. Problema constă în cum clienți de e-mail utilizați aceste pluginuri pentru a decripta e-mailurile bazate pe HTML. Persoanele fizice și companiile sunt încurajate să dezactiveze PGP și/sau S/MIME în clienții lor de e-mail pentru moment și să utilizeze o aplicație separată pentru criptarea mesajelor.
Denumit EFAIL, vulnerabilitatea abuzează de conținutul „activ” redat în e-mailurile bazate pe HTML, cum ar fi imagini, stiluri de pagină și alt conținut non-text stocat pe un server la distanță. Pentru a desfășura cu succes un atac, hackerul trebuie să aibă mai întâi e-mailul criptat în posesie, fie că este prin interceptări, accesarea unui server de e-mail și așa mai departe.
Videoclipuri recomandate
Prima metodă de atac se numește „Exfiltrare directă” și abuzează de vulnerabilități din Apple Mail, iOS Mail și Mozilla Thunderbird. Un atacator creează un e-mail bazat pe HTML, care cuprinde trei părți: începutul unei etichete de solicitare a imaginii, textul cifrat PGP sau S/MIME „furat” și sfârșitul unei etichete de solicitare a imaginii. Atacatorul trimite apoi acest e-mail revizuit victimei.
La sfârșitul victimei, clientul de e-mail decriptează mai întâi a doua parte și apoi le combină pe toate trei într-un singur e-mail. Apoi convertește totul într-un formular URL, începând cu adresa hackerului și trimite o solicitare către acea adresă URL pentru a prelua imaginea inexistentă. Hackerul primește cererea de imagine, care conține întregul mesaj decriptat.
A doua metodă se numește „CBC/CFB Gadget Attack”, care se află în specificațiile PGP și S/MIME, afectând toți clienții de e-mail. În acest caz, atacatorul localizează primul bloc de text simplu criptat în e-mailul furat și adaugă un bloc fals plin cu zerouri. Atacatorul injectează apoi etichete de imagine în textul simplu criptat, creând o singură parte a corpului criptată. Când clientul victimei deschide mesajul, textul simplu este expus hackerului.
În cele din urmă, dacă nu utilizați PGP sau S/MIME pentru criptarea e-mailului, atunci nu aveți de ce să vă faceți griji. Dar persoanelor fizice, companiilor și corporațiilor care folosesc aceste tehnologii zilnic li se recomandă să dezactiveze pluginurile asociate și să folosească un client terță parte pentru a cripta e-mailurile, cum ar fi Semnal (iOS, Android). Și pentru că EFAIL se bazează pe e-mailuri bazate pe HTML, dezactivarea redării HTML este, de asemenea, recomandată pentru moment.
„Această vulnerabilitate ar putea fi folosită pentru a decripta conținutul e-mailurilor criptate trimise în trecut. Folosind PGP din 1993, asta sună baaad (sic)” Mikko Hypponen de la F-Secure a scris într-un tweet. El spus mai târziu că oamenii folosesc criptarea dintr-un motiv: secrete de afaceri, informații confidențiale și multe altele.
Potrivit cercetătorilor, „unii” dezvoltatori de clienți de e-mail lucrează deja la patch-uri care fie elimină EFAIL cu totul sau face exploiturile mai greu de realizat. Ei spun că standardele PGP și S/MIME au nevoie de o actualizare, dar asta „va dura ceva timp”. Documentul tehnic complet poate fi citit aici.
Problema a fost lansată mai întâi de către Süddeutschen Zeitun ziar înainte de embargoul de știri programat. După EFF a contactat cercetătorii pentru a confirma vulnerabilitățile, cercetătorii au fost nevoiți să lanseze lucrarea tehnică prematur.
Recomandările editorilor
- Această exploatare critică ar putea permite hackerilor să ocolească apărarea Mac-ului tău
- Noile e-mailuri de phishing COVID-19 vă pot fura secretele de afaceri
- Actualizați acum Mac-ul pentru a remedia vulnerabilitatea care oferă acces deplin la aplicațiile de spionaj
- Google spune că hackerii au putut să acceseze datele tale iPhone de ani de zile
- Hackerii pot falsifica mesajele WhatsApp care par a fi de la tine
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
