Дослідники з Університету прикладних наук Мюнстера виявили уразливості в технологіях Pretty Good Protection (PGP) і S/MIME, які використовуються для шифрування електронної пошти. Проблема полягає в тому, як поштові клієнти використовуйте ці плагіни для розшифровки електронних листів на основі HTML. Окремим особам і компаніям рекомендується наразі вимкнути PGP та/або S/MIME у своїх клієнтах електронної пошти та використовувати окрему програму для шифрування повідомлень.
Називається EFAIL, уразливість зловживає «активним» вмістом, який відображається в електронних листах на основі HTML, наприклад зображеннями, стилями сторінок та іншим нетекстовим вмістом, що зберігається на віддаленому сервері. Щоб успішно здійснити атаку, хакер повинен спочатку мати у своєму розпорядженні зашифровану електронну пошту, будь то через підслуховування, злом сервера електронної пошти тощо.
Рекомендовані відео
Перший метод атаки називається «Пряма ексфільтрація» та зловживає вразливими місцями в Apple Mail, iOS Mail і Mozilla Thunderbird. Зловмисник створює електронний лист на основі HTML, який складається з трьох частин: початок тегу запиту зображення, «викрадений» шифрований текст PGP або S/MIME та кінець тегу запиту зображення. Потім зловмисник надсилає цей виправлений електронний лист жертві.
З боку жертви поштовий клієнт спочатку розшифровує другу частину, а потім об’єднує всі три в одне повідомлення. Потім він перетворює все в форму URL-адреси, починаючи з адреси хакера, і надсилає запит на цю URL-адресу для отримання неіснуючого зображення. Хакер отримує запит зображення, яке містить усе розшифроване повідомлення.
Другий метод називається «CBC/CFB Gadget Attack», який міститься в специфікаціях PGP і S/MIME і впливає на всі клієнти електронної пошти. У цьому випадку зловмисник знаходить перший блок зашифрованого відкритого тексту у викраденому електронному листі та додає фальшивий блок, заповнений нулями. Потім зловмисник вставляє теги зображення в зашифрований відкритий текст, створюючи одну зашифровану частину тіла. Коли клієнт жертви відкриває повідомлення, відкритий текст відкривається хакеру.
Зрештою, якщо ви не використовуєте PGP або S/MIME для шифрування електронної пошти, тоді нема про що турбуватися. Але окремим особам, компаніям і корпораціям, які щодня використовують ці технології, рекомендується вимкнути відповідні плагіни та використовувати сторонні клієнти для шифрування електронних листів, наприклад Сигнал (iOS, Android). І тому що EFAIL покладається на електронні листи на основі HTML, наразі також рекомендується вимкнути відтворення HTML.
«Ця вразливість може бути використана для розшифровки вмісту зашифрованих електронних листів, надісланих у минулому. Використовуючи PGP з 1993 року, це звучить бааад (sic)” Мікко Гіппонен з F-Secure написав у твіті. Він пізніше сказав що люди використовують шифрування з певної причини: комерційна таємниця, конфіденційна інформація тощо.
За словами дослідників, «деякі» розробники клієнтів електронної пошти вже працюють над виправленнями, які усувають EFAIL взагалі або робить подвиги важчими для виконання. Вони кажуть, що стандарти PGP і S/MIME потребують оновлення, але це «займе деякий час». Повний технічний документ можна прочитати тут.
Проблему вперше оприлюднив Süddeutschen Zeitun газета до запланованого ембарго на новини. Після EFF зв’язався з дослідниками щоб підтвердити вразливості, дослідники були змушені передчасно опублікувати технічну документацію.
Рекомендації редакції
- Цей критичний експлойт може дозволити хакерам обійти захист вашого Mac
- Нові фішингові електронні листи щодо COVID-19 можуть викрасти ваші бізнес-секрети
- Оновіть свій Mac зараз, щоб усунути вразливість, яка надає повний доступ до шпигунських програм
- Google каже, що хакери мали змогу отримати доступ до даних вашого iPhone протягом багатьох років
- Хакери можуть підробити повідомлення WhatsApp, які нібито надійшли від вас
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
