Анна Балабанова
©

Обнаружены уязвимости в PGP и S/MIME для клиентов e-mail Apple, Thunderbird и Outlook

Обнаружены уязвимости в PGP и S/MIME для клиентов e-mail Apple, Thunderbird и Outlook
©InfoGlitz

Европейские исследователи обнаружили, что популярные стандарты шифрования электронной почты PGP и S/MIME уязвимы для взлома, поэтому пользователи должны немедленно отключить и деинсталлировать их.


Университетская исследовательская группа разработчиков из Германии и Бельгии на днях обнаружила недостатки в средствах шифрования, которые используются большинством популярных почтовых приложений, таких как Microsoft Outlook и Apple Mail.

В настоящее время нет надежных «заплаток» для устранения этих уязвимостей. Если вы используете PGP и S/MIME для шифрования личной переписки, то я бы рекомендовал отключить эти протоколы в своем почтовом клиенте, по крайней мере пока, – заявил в понедельник профессор прикладной криптографии Университета Мюнстера Себастьян Шинцель.

Команда должна была опубликовать полный отчет о своих находках только сегодня, но из-за потенциальной угрозы массовых волнений, которые могут быть вызваны среди пользователей почтовых клиентов, особенно дорожащих своей конфиденциальностью (активистов, осведомителей и журналистов), разработчики сообщили о проблеме незамедлительно.

Озаглавив свое открытие «Efail», они сообщили, что нашли два пути, которыми хакеры могли бы выуживать из почтового клиента полный текст сообщений. На данный момент пока нет сообщений о том, что кто-либо уже использовал эти бэкдоры для «копания» в электронных письмах пользователей.

Прямая эксфильтрация и «Атака гаджетов»

Первый эксплойт позволяет хакерам «эксфильтровать» электронные письма в открытом виде, используя уязвимость, присущую языку гипертекстовой разметки (HTML), применяемого для веб-дизайна и в форматирования писем.

Согласно полученным данным, под метод прямой эксфильтрации попадают почтовые клиенты Apple Mail, iOS Mail и Mozilla Thunderbird. Исследователи полагают, что простой патч сможет решить эту проблему, хотя в настоящее время ее довольно легко использовать для незаконного доступа аутсайдерами.

Второй эксплойт «Атака гаджетов» использует бреши в OpenPGP и S/MIME для ввода вредоносного текста, что позволяет злоумышленникам похищать текст из зашифрованных писем.

По факту Gadget Attack влияет на гораздо более широкий спектр почтовых клиентов, в том числе Microsoft Outlook, но с разной эффективностью. Все зависит от того, используется ли он против шифрования PGP или S/MIME. Против PGP он срабатывает только один раз за три попытки доступа, но против S/MIME – одно электронное письмо может быть использовано до 500 раз.

Уязвимости в стандартах PGP и S/MIME представляют угрозу не только для текущих сообщений, но и способны воздействовать на содержимое прошлых писем, – сообщает Electronic Frontier Foundation (EFF) США.

В своем блоге EFF рекомендует пользователям почтовых клиентов с шифрованием PGP удалить или временно отключить свои плагины электронной почты PGP, пока исследовательское сообщество не сможет оценить всю серьезность уязвимостей. Также EFF отмечает, что пользователи в настоящее время должны переключиться на альтернативные приложения для безопасного обмена сообщениями, отличные от электронной почты, например Signal.

В свою очередь Федеральное ведомство по информационной безопасности Германии (BSI) заявило, что существует риск того, что злоумышленники могут получить доступ к электронной переписке уже после того, как пользователь расшифрует письма. Это говорит о том, что стандарты шифрования сами по себе безопасны, если они правильно инсталлированы и настроены.

Безопасность шифрования электронной переписки – важный аспект повышения общей информационной безопасности. Своевременно обнаруженные уязвимости могут быть эффективно устранены с помощью соответствующих исправлений и правильной настройки сервиса, – говорится в заявлении.

Протокол PGP (или Pretty Good Privacy) был разработан еще в 1991 году Филом Циммерманом (соучредитель и главный разработчик Silent Circle) и уже давно используется как безопасная форма сквозного шифрования, недоступная для вмешательства аутсайдеров. PGP работает с алгоритмом генерации «хэша» или математического суммирования имени пользователя с другой информацией. Затем эта информация зашифровывается «закрытым ключом отправителя» и дешифруется уже получателем с использованием своего «открытого ключа».

Чтобы использовать уязвимость PGP, хакеру необходим доступ к почтовому серверу или почтовому ящику получателя. Кроме того, письма должны быть в формате HTML и иметь активные ссылки на внешний контент, чтобы стать уязвимыми, – заявили в BSI.

В связи с этим, Ведомство также рекомендует пользователям отключать использование активного контента, такого как HTML-код и внешние ссылки, в электронной переписке, чтобы защитить свои серверы электронной почты от внешнего доступа.

Один хлопок? Или же бурные овации? Хлопая больше или меньше, вы показываете, какой пост действительно чего-то стоит.
Комментарии