Výskumníci z Munsterskej univerzity aplikovaných vied objavili zraniteľné miesta v technológiách Pretty Good Protection (PGP) a S/MIME používaných na šifrovanie e-mailov. Problém spočíva v tom, ako e-mailových klientov použite tieto doplnky na dešifrovanie e-mailov založených na HTML. Jednotlivcom a spoločnostiam sa odporúča, aby nateraz zakázali PGP a/alebo S/MIME vo svojich e-mailových klientoch a používali samostatnú aplikáciu na šifrovanie správ.
Volá sa EFAIL, zraniteľnosť zneužíva „aktívny“ obsah vykreslený v e-mailoch založených na HTML, ako sú obrázky, štýly stránok a iný netextový obsah uložený na vzdialenom serveri. Na úspešné vykonanie útoku musí hacker najprv vlastniť zašifrovaný e-mail, či už ide o odpočúvanie, nabúranie sa do e-mailového servera atď.
Odporúčané videá
Prvá metóda útoku sa nazýva „Direct Exfiltration“ a zneužíva zraniteľné miesta v Apple Mail, iOS Mail a Mozilla Thunderbird. Útočník vytvorí e-mail založený na HTML, ktorý pozostáva z troch častí: začiatok značky žiadosti o obrázok, „ukradnutý“ šifrovaný text PGP alebo S/MIME a koniec značky žiadosti o obrázok. Útočník potom odošle tento upravený e-mail obeti.
Na strane obete e-mailový klient najskôr dešifruje druhú časť a potom skombinuje všetky tri do jedného e-mailu. Potom všetko prevedie do formulára adresy URL, ktorý začína adresou hackera a odošle na túto adresu URL požiadavku na získanie neexistujúceho obrázka. Hacker dostane požiadavku na obrázok, ktorá obsahuje celú dešifrovanú správu.
Druhá metóda sa nazýva „CBC/CFB Gadget Attack“, ktorá je súčasťou špecifikácií PGP a S/MIME a ovplyvňuje všetkých e-mailových klientov. V tomto prípade útočník nájde prvý blok zašifrovaného otvoreného textu v ukradnutom e-maile a pridá falošný blok plný nul. Útočník potom vloží značky obrázkov do zašifrovaného otvoreného textu, čím vytvorí jednu zašifrovanú časť tela. Keď klient obete otvorí správu, hackerovi sa odhalí čistý text.
Nakoniec, ak nepoužívate PGP alebo S/MIME na šifrovanie e-mailov, potom sa nemusíte obávať. Jednotlivcom, spoločnostiam a korporáciám, ktoré používajú tieto technológie na dennej báze, sa však odporúča, aby zakázali súvisiace pluginy a používali klienta tretej strany na šifrovanie e-mailov, ako napr. Signál (iOS, Android). A preto EFAIL sa spolieha na e-maily založené na HTML, zatiaľ sa tiež odporúča vypnúť vykresľovanie HTML.
„Túto zraniteľnosť možno použiť na dešifrovanie obsahu šifrovaných e-mailov odoslaných v minulosti. Keďže PGP používam od roku 1993, znie to baaad (sic),“ Mikko Hypponen z F-Secure napísal v tweete. On neskôr povedal že ľudia používajú šifrovanie z nejakého dôvodu: obchodné tajomstvá, dôverné informácie a ďalšie.
Podľa výskumníkov „niektorí“ vývojári e-mailových klientov už pracujú na opravách, ktoré buď eliminujú EFAIL celkom resp sťažuje realizáciu exploitov. Hovoria, že štandardy PGP a S/MIME potrebujú aktualizáciu, ale to „bude nejaký čas trvať“. Úplný technický list si môžete prečítať tu.
Problém najprv unikol Süddeutschen Zeitun noviny pred plánovaným embargom na spravodajstvo. Po EFF kontaktovala výskumníkov na potvrdenie zraniteľnosti boli výskumníci nútení predčasne vydať technický dokument.
Odporúčania redaktorov
- Toto kritické zneužitie by mohlo hackerom umožniť obísť obranu vášho Macu
- Nové phishingové e-maily COVID-19 môžu ukradnúť vaše obchodné tajomstvá
- Aktualizujte svoj Mac a opravte zraniteľnosť, ktorá poskytuje úplný prístup k špionážnym aplikáciám
- Google tvrdí, že hackeri majú prístup k údajom o vašom iPhone už roky
- Hackeri môžu falšovať správy WhatsApp, ktoré vyzerajú, že sú od vás
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.
