След откриването на недостатъка на сигурността в протоколите PGP и S / MIME, екипът от изследователи публикува изчерпателен документ, който обяснява уязвимостите и ние знаем повече за тънкостите в ситуацията.
Този недостатък в сигурността, наречен EFAIL , не касае самите протоколи, както е бил представен първоначално, а някои приставки и инструменти, които ги използват , което прави ситуацията малко по-малко критична .

Недостатък, който не се използва лесно

Първо, недостатъкът на EFAIL може да се използва само за съобщения от потребители, използващи S / MIME или PGP за криптиране на техните комуникации.
S / MIME е стандарт, използван главно в бизнеса . По-специално на macOS и iOS, софтуерът на Apple показва катинар до подателя, когато изпраща имейл по този метод. Въпреки това изглежда, че Apple е отстранила този недостатък от версия 10.13.4 на High Sierra, след като е била информирана много преди обикновения човек за тази уязвимост. Gmail може също да бъде засегнат, тъй като уеб клиентът предлага опция за шифроване на съобщения чрез S / MIME.
За PGP това обикновено изисква инсталиране на добавка, въпреки че някои клиенти го включват по подразбиране. Например Thunderbird, имейл клиентът на Mozilla Foundation, е засегнат от този недостатък.
Ако използвате плъгин или инструмент PGP или S / MIME, бъдете сигурни, че не сте непременно изложени . От 35 тествани клиенти и услуги, поддържащи S / MIME, 25 бяха засегнати; по същия начин, от 28 тествани клиента на PGP, само 10 са били компрометирани.
Още по-успокояващо е, че уязвимостта позволява съобщенията да бъдат декриптирани без ваше знание, но това изисква достъп до съобщенията , което ясно ограничава обхвата на нарушението на сигурността.
Това може да стане чрез възстановяване на съобщенията от компютъра на потребителя, чрез извличане от сървъра на компанията, който съхранява писмата, или чрез заснемането им чрез незащитена мрежа, но това изисква допълнителни познания за нападателя. и време.

Десетилетна грешка

Тук не говорим за кости, а винаги за вината. Изглежда, че това съвсем скорошно откритие се отнася до уязвимост, която съществува от около десет години . Честно казано, недостатъкът, свързан с PGP, е известен и документиран от 1999 г., дори ако, разбира се, бяха внедрени корекции в началото на 2000 г.
За ужас на потребителите няма начин да бъдем сигурни. че не е бил използван за дешифриране на имейлите му.
Зад EFAIL има няколко недостатъка за изброяване, които се отнасят до криптиращите технологии, клиентите и услугите. За всеки отделен случай данните, които хакерите могат да възстановят в ясно състояние, варират.
Можете да намерите пълния документ, публикуван от изследователския екип зад откритието, на официалния уебсайт на EFAIL.

Как работи недостатъкът на EFAIL

Технически как работи тази уязвимост? Именно HTML, който се използва за форматиране на имейл, е в основата на проблема. Техниката на хакване изисква няколко стъпки.
На първо място, следователно нападателят трябва да възстанови копие на криптиран имейл между получателя и подателя. Веднъж в ръка, той създава модифицирана версия на имейла, чието криптирано съдържание е включено в HTML таг, чрез добавяне на връзка към име на домейн, контролирано от нападателя. И накрая, той изпраща този заклещен имейл обратно към целта. При отварянето му пощенският клиент ще дешифрира съобщението, така че потребителят да може да го прегледа и ясно копие ще бъде изпратено до името на домейна, съдържащо се в HTML маркера, като по този начин позволява нанападател, за да го възстанови.
Оттам той ще има достъп до цялата информация в имейла - чрез скритите данни в имейла - и може да отиде много по-далеч в хакване на потребителски данни.

Какво да направя, за да го предотвратя?

Сега трябва да направите само едно: спрете да използвате вашия пощенски клиент за дешифриране на съобщения . Това е най-доброто краткосрочно решение за драстично отстраняване на проблема, тъй като недостатъкът на сигурността EFAIL експлоатира пощенския клиент. Деактивирайте криптирането, премахнете свързаните сертификати, ако е приложимо, и деинсталирайте всички модули, които може да сте инсталирали.
В противен случай просто трябва да изчакате търпеливо разработчиците на софтуера да пуснат кръпка сега, след като екипът, който стои зад уязвимостта, направи публично откритието си.

Популярни Публикации

Преглед на NETGEAR Nighthawk M1: преносимият и универсален 4G рутер, който можете да поискате за всичко

Номадски 4G рутер, за да се радвате на добра интернет връзка във всяка ситуация, такова е обещанието на NETGEAR Nighthawk M1. Да видим дали американският производител на оборудване успява да задържи залога си.…

Сравнение на най-добрите говорители за лавици (2020)

Двойката високоговорители в така наречения формат „библиотека“ представлява най-добрият компромис за наслаждаване на музика в стерео. Основи на висока точност, тези високоговорители заемат малко място за лесна инсталация. Оттук и библиотеката с имената им показва възможността да ги поставите просто на рафтове между книги и дрънкулки. Те обикновено измерват височината на голяма книга, около тридесет сантиметра. Разбира се, има и по-съществени, които ще изискват повече…

Тест на кръстоносците Kings III: има нещо гнило в Кралство Дания

Накрая! Почти осем години след излизането на Crusader Kings II, Paradox решава да му даде истинско продължение. За или против политиката на DLC на шведския издател, трябва да признаем, че това даде невероятна продължителност на живота на тази страхотна стратегия, но след осем години повече или по-малко добре изработени корекции и подобрения, беше време за да започнете отново на по-солидна основа.…

Сравнение на най-добрите волани за компютър и конзола (2020)

Въпреки че има играчи, които предпочитат геймпада, наличието на волан все пак е нещо като нирвана за много „компютърно подпомогнати“ пилоти. Мечта, която обаче не е толкова недостъпна, колкото изглежда ... дори очевидно всичко да е въпрос на бюджет.…