Исследователи из Мюнстерского университета прикладных наук обнаружили уязвимости в технологиях Pretty Good Protection (PGP) и S/MIME, используемых для шифрования электронной почты. Проблема заключается в том, как почтовые клиенты используйте эти плагины для расшифровки электронных писем в формате HTML. Частным лицам и компаниям рекомендуется пока отключить PGP и/или S/MIME в своих почтовых клиентах и использовать отдельное приложение для шифрования сообщений.
Называется EFAIL, уязвимость злоупотребляет «активным» контентом, отображаемым в электронных письмах на основе HTML, например изображениями, стилями страниц и другим нетекстовым контентом, хранящимся на удаленном сервере. Чтобы успешно осуществить атаку, хакеру сначала необходимо иметь зашифрованное электронное письмо, будь то путем подслушивания, взлома почтового сервера и т. д.
Рекомендуемые видео
Первый метод атаки называется «Прямая эксфильтрация» и использует уязвимости в Apple Mail, iOS Mail и Mozilla Thunderbird. Злоумышленник создает электронное письмо на основе HTML, состоящее из трех частей: начало тега запроса изображения, «украденный» зашифрованный текст PGP или S/MIME и конец тега запроса изображения. Затем злоумышленник отправляет исправленное электронное письмо жертве.
На стороне жертвы почтовый клиент сначала расшифровывает вторую часть, а затем объединяет все три в одно письмо. Затем он преобразует все в форму URL-адреса, начиная с адреса хакера, и отправляет запрос на этот URL-адрес для получения несуществующего изображения. Хакер получает запрос изображения, которое содержит все расшифрованное сообщение.
Второй метод называется «Атака на гаджет CBC/CFB», он соответствует спецификациям PGP и S/MIME и затрагивает все почтовые клиенты. В этом случае злоумышленник находит первый блок зашифрованного открытого текста в украденном электронном письме и добавляет поддельный блок, заполненный нулями. Затем злоумышленник вводит теги изображений в зашифрованный открытый текст, создавая единую зашифрованную часть тела. Когда клиент жертвы открывает сообщение, хакеру становится доступен открытый текст.
В конечном итоге, если вы не используете PGP или S/MIME для шифрования электронной почты, тогда не о чем беспокоиться. Но отдельным лицам, компаниям и корпорациям, которые используют эти технологии ежедневно, рекомендуется отключить соответствующие плагины и использовать сторонний клиент для шифрования электронной почты, например Сигнал (iOS, Андроид). И потому что ЭФАЙЛ использует электронную почту на основе HTML, на данный момент также рекомендуется отключить рендеринг HTML.
«Эта уязвимость может быть использована для расшифровки содержимого зашифрованных писем, отправленных в прошлом. Поскольку я использую PGP с 1993 года, это звучит плохо (так в оригинале)». Микко Хиппонен из F-Secure написал в твиттере. Он позже сказал что люди используют шифрование по какой-то причине: коммерческая тайна, конфиденциальная информация и многое другое.
По словам исследователей, «некоторые» разработчики почтовых клиентов уже работают над патчами, которые устраняют EFAIL вообще или усложняет выполнение эксплойтов. Они говорят, что стандарты PGP и S/MIME нуждаются в обновлении, но это «займет некоторое время». Полная техническая документация можно прочитать здесь.
Впервые о проблеме стало известно Зюддойчен Цайтун газету до запланированного новостного эмбарго. После EFF связался с исследователями Чтобы подтвердить наличие уязвимостей, исследователи были вынуждены досрочно выпустить техническую статью.
Рекомендации редакции
- Этот критический эксплойт может позволить хакерам обойти защиту вашего Mac.
- Новые фишинговые письма о COVID-19 могут украсть ваши деловые секреты
- Обновите свой Mac прямо сейчас, чтобы устранить уязвимость, предоставляющую полный доступ к шпионским приложениям.
- Google утверждает, что хакеры уже много лет могут получить доступ к данным вашего iPhone
- Хакеры могут подделывать сообщения WhatsApp, которые выглядят так, будто они от вас
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
