Эксплойт «Efail» раскрывает популярные схемы шифрования электронной почты

16.05.2018 8:12 45

Эксплойт «Efail» раскрывает популярные схемы шифрования электронной почты

Зашифрованные электронные письма, защищенные обычными средствами шифрования, якобы «восприимчивы к критическим уязвимостям», которые будут раскрывать их контент потенциальным хакерам. Себастьян Шнизел, профессор информатики из Университета Мюнстера, обратил внимание на проблему «Efail». Впоследствии он призвал пользователей программ PGP / GPG и S / Mime отключить их в своих почтовых клиентах.

Efail - это термин, который описывает доступные лазейки в сквозных службах шифрования. Недавно Electronic Frontier Foundation (EFF) утверждала, что ошибка шифрования представляет собой «непосредственный риск» для пользователей PGP и S / Mime, и что даже древние сообщения, проникшие глубоко внутри тщательно названных папок, находятся под угрозой. Такой недостаток может не вызывать беспокойства, если ваши личные файлы данных состоят из мирских приветствий, однако для тех, кто в общественной сфере - журналистов, активистов или политиков, - которые зависят от инструментов шифрования для защиты конфиденциального рабочего места сообщений, защитный барьер ушел.

Атаки Efail работают, злоупотребляя активным содержимым электронных писем HTML для доступа или «exfiltrate» открытого текста. Исследователи объясняют, что существуют два основных типа: прямые атаки на фильтрацию (которые нацелены на слабые места в Apple Mail, iOS Mail и Mozilla Thunderbird) и атак CBC / CFB. Это разнообразие, которое злоумышленники используют для засады пользователей OpenPGP и S / Mime, отправив слегка измененный адрес S / Mime на адрес жертвы. Путем инъекции искаженных образов или ресурсов стиля в зашифрованный открытый текст, у злоумышленника есть один шанс на успех при декодировании оставшейся части целевого сообщения.

Эксплойт «Efail» раскрывает популярные схемы шифрования электронной почты

До утечки Шнизел заявил, что «нет надежных исправлений», и рекомендовал, чтобы затронутые пользователи отключили нарушенное программное обеспечение для шифрования. EFF повторила инструкцию Шнизела и посоветовала затронутым пользователям использовать Signal - бесплатное сквозное программное обеспечение для шифрования, совместимое с устройствами Android и iOS, до тех пор, пока проблема не будет устранена.

В отчете Efail перечислены дополнительные шаги, которые могут предпринять пользователи, чтобы снизить вероятность попадания в жертв шифрования, а именно, дешифрование S / Mime и PGP внешних почтовых клиентов в отдельном приложении и полное отключение HTML-рендеринга. Но исследователи предупредили, что, поскольку атаки могут стать более сложными в будущем, стратегии, которые поддерживают стандарты OpenPGP и S / Mime, необходимы для долгосрочного решения.