Raziskovalci na Univerzi uporabnih znanosti Munster so odkrili ranljivosti v tehnologijah Pretty Good Protection (PGP) in S/MIME, ki se uporabljata za šifriranje elektronske pošte. Težava je v tem, kako e-poštni odjemalci uporabite te vtičnike za dešifriranje e-poštnih sporočil, ki temeljijo na HTML. Posameznike in podjetja spodbujamo, da za zdaj onemogočijo PGP in/ali S/MIME v svojih e-poštnih odjemalcih in za šifriranje sporočil uporabijo ločeno aplikacijo.
Imenuje se EFAIL, ranljivost zlorablja "aktivno" vsebino, upodobljeno v e-poštnih sporočilih, ki temeljijo na HTML, kot so slike, slogi strani in druga nebesedilna vsebina, shranjena na oddaljenem strežniku. Za uspešno izvedbo napada mora heker najprej imeti v posesti šifrirano e-pošto, bodisi s prisluškovanjem, vdorom v e-poštni strežnik itd.
Priporočeni videoposnetki
Prva metoda napada se imenuje "Direct Exfiltration" in zlorablja ranljivosti v aplikacijah Apple Mail, iOS Mail in Mozilla Thunderbird. Napadalec ustvari e-pošto, ki temelji na HTML in je sestavljena iz treh delov: začetek oznake zahteve za sliko, "ukradeno" šifrirano besedilo PGP ali S/MIME in konec oznake zahteve za sliko. Napadalec nato to popravljeno e-pošto pošlje žrtvi.
Na strani žrtve e-poštni odjemalec najprej dešifrira drugi del in nato vse tri združi v eno e-pošto. Nato vse pretvori v obrazec URL, ki se začne z naslovom hekerja, in na ta URL pošlje zahtevo za pridobitev neobstoječe slike. Heker prejme slikovno zahtevo, ki vsebuje celotno dešifrirano sporočilo.
Druga metoda se imenuje "CBC/CFB Gadget Attack", ki se nahaja v specifikacijah PGP in S/MIME ter vpliva na vse e-poštne odjemalce. V tem primeru napadalec poišče prvi blok šifriranega odprtega besedila v ukradenem e-poštnem sporočilu in doda lažni blok, napolnjen z ničlami. Napadalec nato v šifrirano golo besedilo vstavi slikovne oznake in tako ustvari en sam šifriran del telesa. Ko žrtvin odjemalec odpre sporočilo, je golo besedilo izpostavljeno hekerju.
Navsezadnje, če ne uporabljate PGP ali S/MIME za šifriranje e-pošte, potem ni razloga za skrb. Toda posameznikom, podjetjem in korporacijam, ki vsakodnevno uporabljajo te tehnologije, svetujemo, da onemogočijo povezane vtičnike in za šifriranje e-pošte uporabijo odjemalca tretje osebe, kot je npr. Signal (iOS, Android). In ker EFAIL se opira na e-poštna sporočila, ki temeljijo na HTML, za zdaj priporočamo tudi onemogočanje upodabljanja HTML.
»Ta ranljivost se lahko uporabi za dešifriranje vsebine šifriranih e-poštnih sporočil, poslanih v preteklosti. Ker uporabljam PGP od leta 1993, to zveni baaad (sic)," Mikko Hypponen iz družbe F-Secure zapisal v tvitu. On kasneje rekel da ljudje uporabljajo šifriranje z razlogom: poslovne skrivnosti, zaupne informacije in drugo.
Po mnenju raziskovalcev "nekateri" razvijalci e-poštnih odjemalcev že delajo na popravkih, ki bodisi odpravljajo EFAIL v celoti oz naredi podvige težje izvedljive. Pravijo, da standarda PGP in S/MIME potrebujeta posodobitev, vendar bo to "vzelo nekaj časa." Celoten tehnični dokument lahko preberete tukaj.
Težavo je najprej razkril Süddeutschen Zeitun časopis pred predvidenim embargom na novice. Po EFF je stopil v stik z raziskovalci da bi potrdili ranljivosti, so bili raziskovalci prisiljeni predčasno objaviti tehnični dokument.
Priporočila urednikov
- Ta kritični podvig lahko hekerjem omogoči, da zaobidejo obrambo vašega Maca
- Nova lažna e-poštna sporočila o COVID-19 lahko ukradejo vaše poslovne skrivnosti
- Posodobite svoj Mac zdaj, da odpravite ranljivost, ki omogoča popoln dostop do vohunskih aplikacij
- Google pravi, da lahko hekerji že leta dostopajo do podatkov vašega iPhona
- Hekerji lahko ponaredijo sporočila WhatsApp, ki se zdijo, kot da so od vas
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
