Forskare vid Munster University of Applied Sciences upptäckte sårbarheter i Pretty Good Protection (PGP) och S/MIME-tekniker som används för att kryptera e-post. Problemet ligger i hur e-postklienter använd dessa plugin-program för att dekryptera HTML-baserad e-post. Individer och företag uppmuntras att inaktivera PGP och/eller S/MIME i sina e-postklienter tills vidare och använda en separat applikation för meddelandekryptering.
Kallas EFAIL, missbrukar sårbarheten "aktivt" innehåll som återges i HTML-baserade e-postmeddelanden, såsom bilder, sidstilar och annat icke-textinnehåll som lagras på en fjärrserver. För att framgångsrikt kunna utföra en attack måste hackaren först ha den krypterade e-posten i besittning, oavsett om det är genom avlyssning, hacka in på en e-postserver och så vidare.
Rekommenderade videor
Den första attackmetoden kallas "Direct Exfiltration" och missbrukar sårbarheter i Apple Mail, iOS Mail och Mozilla Thunderbird. En angripare skapar ett HTML-baserat e-postmeddelande som består av tre delar: början på en tagg för bildbegäran, den "stulna" PGP- eller S/MIME-chiffertexten och slutet på en tagg för bildbegäran. Angriparen skickar sedan detta reviderade e-postmeddelande till offret.
På offrets sida dekrypterar e-postklienten först den andra delen och kombinerar sedan alla tre till ett e-postmeddelande. Den konverterar sedan allt till ett URL-formulär som börjar med hackarens adress och skickar en begäran till den URL: en för att hämta den obefintliga bilden. Hackaren tar emot bildbegäran, som innehåller hela det dekrypterade meddelandet.
Den andra metoden kallas "CBC/CFB Gadget Attack", som ligger inom PGP- och S/MIME-specifikationerna och påverkar alla e-postklienter. I det här fallet hittar angriparen det första blocket med krypterad klartext i det stulna e-postmeddelandet och lägger till ett falskt block fyllt med nollor. Angriparen injicerar sedan bildtaggar i den krypterade klartexten, vilket skapar en enda krypterad kroppsdel. När offrets klient öppnar meddelandet, exponeras klartexten för hackaren.
I slutändan, om du inte använder PGP eller S/MIME för e-postkryptering, då finns det inget att oroa sig för. Men individer, företag och företag som använder dessa tekniker dagligen rekommenderas att inaktivera relaterade plugins och använda en tredjepartsklient för att kryptera e-postmeddelanden, som t.ex. Signal (iOS, Android). Och eftersom EFAIL förlitar sig på HTML-baserade e-postmeddelanden, rekommenderas även att inaktivera HTML-rendering för närvarande.
"Denna sårbarhet kan användas för att dekryptera innehållet i krypterade e-postmeddelanden som skickats tidigare. Efter att ha använt PGP sedan 1993 låter det här baaad (sic),” F-Secures Mikko Hypponen skrev i en tweet. han sa senare att människor använder kryptering av en anledning: Affärshemligheter, konfidentiell information och mer.
Enligt forskarna arbetar "vissa" e-postklientutvecklare redan på patchar som antingen eliminerar EFAIL helt och hållet eller gör bedrifterna svårare att utföra. De säger att PGP- och S/MIME-standarderna behöver en uppdatering, men det "kommer att ta lite tid." Hela tekniska papper kan läsas här.
Problemet läckte först ut av Süddeutschen Zeitun tidningen innan det planerade nyhetsembargot. Efter EFF kontaktade forskarna för att bekräfta sårbarheterna tvingades forskarna släppa det tekniska papperet i förtid.
Redaktörens rekommendationer
- Denna kritiska exploatering kan låta hackare kringgå din Macs försvar
- Nya covid-19-nätfiske-e-postmeddelanden kan stjäla dina affärshemligheter
- Uppdatera din Mac nu för att åtgärda sårbarhet som ger full tillgång till spionappar
- Google säger att hackare har kunnat komma åt din iPhone-data i flera år
- Hackare kan fejka WhatsApp-meddelanden som verkar som om de kommer från dig
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
