Този недостатък в сигурността, наречен EFAIL , не касае самите протоколи, както е бил представен първоначално, а някои приставки и инструменти, които ги използват , което прави ситуацията малко по-малко критична .
Недостатък, който не се използва лесно
Първо, недостатъкът на EFAIL може да се използва само за съобщения от потребители, използващи S / MIME или PGP за криптиране на техните комуникации.S / MIME е стандарт, използван главно в бизнеса . По-специално на macOS и iOS, софтуерът на Apple показва катинар до подателя, когато изпраща имейл по този метод. Въпреки това изглежда, че Apple е отстранила този недостатък от версия 10.13.4 на High Sierra, след като е била информирана много преди обикновения човек за тази уязвимост. Gmail може също да бъде засегнат, тъй като уеб клиентът предлага опция за шифроване на съобщения чрез S / MIME.
За PGP това обикновено изисква инсталиране на добавка, въпреки че някои клиенти го включват по подразбиране. Например Thunderbird, имейл клиентът на Mozilla Foundation, е засегнат от този недостатък.
Ако използвате плъгин или инструмент PGP или S / MIME, бъдете сигурни, че не сте непременно изложени . От 35 тествани клиенти и услуги, поддържащи S / MIME, 25 бяха засегнати; по същия начин, от 28 тествани клиента на PGP, само 10 са били компрометирани.
Още по-успокояващо е, че уязвимостта позволява съобщенията да бъдат декриптирани без ваше знание, но това изисква достъп до съобщенията , което ясно ограничава обхвата на нарушението на сигурността.
Това може да стане чрез възстановяване на съобщенията от компютъра на потребителя, чрез извличане от сървъра на компанията, който съхранява писмата, или чрез заснемането им чрез незащитена мрежа, но това изисква допълнителни познания за нападателя. и време.
Десетилетна грешка
Тук не говорим за кости, а винаги за вината. Изглежда, че това съвсем скорошно откритие се отнася до уязвимост, която съществува от около десет години . Честно казано, недостатъкът, свързан с PGP, е известен и документиран от 1999 г., дори ако, разбира се, бяха внедрени корекции в началото на 2000 г.За ужас на потребителите няма начин да бъдем сигурни. че не е бил използван за дешифриране на имейлите му.
Зад EFAIL има няколко недостатъка за изброяване, които се отнасят до криптиращите технологии, клиентите и услугите. За всеки отделен случай данните, които хакерите могат да възстановят в ясно състояние, варират.
Можете да намерите пълния документ, публикуван от изследователския екип зад откритието, на официалния уебсайт на EFAIL.
Как работи недостатъкът на EFAIL
Технически как работи тази уязвимост? Именно HTML, който се използва за форматиране на имейл, е в основата на проблема. Техниката на хакване изисква няколко стъпки.На първо място, следователно нападателят трябва да възстанови копие на криптиран имейл между получателя и подателя. Веднъж в ръка, той създава модифицирана версия на имейла, чието криптирано съдържание е включено в HTML таг, чрез добавяне на връзка към име на домейн, контролирано от нападателя. И накрая, той изпраща този заклещен имейл обратно към целта. При отварянето му пощенският клиент ще дешифрира съобщението, така че потребителят да може да го прегледа и ясно копие ще бъде изпратено до името на домейна, съдържащо се в HTML маркера, като по този начин позволява нанападател, за да го възстанови.
Оттам той ще има достъп до цялата информация в имейла - чрез скритите данни в имейла - и може да отиде много по-далеч в хакване на потребителски данни.
Какво да направя, за да го предотвратя?
Сега трябва да направите само едно: спрете да използвате вашия пощенски клиент за дешифриране на съобщения . Това е най-доброто краткосрочно решение за драстично отстраняване на проблема, тъй като недостатъкът на сигурността EFAIL експлоатира пощенския клиент. Деактивирайте криптирането, премахнете свързаните сертификати, ако е приложимо, и деинсталирайте всички модули, които може да сте инсталирали.В противен случай просто трябва да изчакате търпеливо разработчиците на софтуера да пуснат кръпка сега, след като екипът, който стои зад уязвимостта, направи публично откритието си.