Táto bezpečnostná chyba s názvom EFAIL sa netýka samotných protokolov, ako boli pôvodne predstavené, ale určitých doplnkov a nástrojov, ktoré ich využívajú , vďaka čomu je situácia o niečo menej kritická .
Chyba, ktorá sa nedá ľahko zneužiť
Po prvé, chybu EFAIL je možné zneužiť iba na správy od používateľov používajúcich S / MIME alebo PGP na šifrovanie ich komunikácie.S / MIME je štandard používaný hlavne v podnikaní . Najmä v systémoch MacOS a iOS zobrazuje softvér Apple pri odosielaní e-mailu týmto spôsobom visiaci zámok vedľa odosielateľa. Napriek tomu sa zdá, že Apple túto chybu napravil od verzie 10.13.4 High Sierra, pretože bol o tejto zraniteľnosti informovaný už dávno pred obyčajným človekom. Môže to mať vplyv aj na Gmail, pretože webový klient ponúka možnosť šifrovania správ pomocou S / MIME.
Pre program PGP to zvyčajne vyžaduje inštaláciu doplnku, hoci niektorí zákazníci ho predvolene zahŕňajú. Napríklad táto chyba ovplyvňuje Thunderbird, e-mailového klienta Mozilla Foundation.
Ak používate doplnok alebo nástroj PGP alebo S / MIME, buďte si istý, že nie ste nevyhnutne vystavení . Z 35 testovaných klientov a služieb s povoleným S / MIME bolo ovplyvnených 25; podobne z 28 testovaných klientov PGP bolo kompromitovaných iba 10.
Oveľa upokojujúcejšie je, že zraniteľnosť umožňuje dešifrovať správy bez vášho vedomia, čo si však vyžaduje prístup k správam , čo jednoznačne obmedzuje rozsah narušenia bezpečnosti.
To je možné dosiahnuť obnovením správ z počítača používateľa, ich extrakciou zo servera spoločnosti, ktorý ukladá e-maily, alebo ich zachytením prostredníctvom nechránenej siete, čo však pre útočníka vyžaduje ďalšie znalosti. a čas.
Desaťročná chyba
Nehovoríme tu o kostiach, ale vždy o chybe. Zdá sa, že tento veľmi nedávny objav sa týka zraniteľnosti, ktorá existuje už asi desať rokov . Pravdupovediac, chyba týkajúca sa PGP je známa a zdokumentovaná od roku 1999, aj keď samozrejme boli opravy implementované začiatkom roku 2000.Na zdesenie používateľov neexistuje nijaká istota. že to nebolo použité na dešifrovanie jeho mailov.
Za dokumentom EFAIL je potrebné vymenovať niekoľko chýb, ktoré sa týkajú šifrovacích technológií, klientov a služieb. V jednotlivých prípadoch sa údaje, ktoré môžu hackeri jasne získať, líšia.
Kompletný dokument zverejnený výskumným tímom, ktorý stojí za objavom, nájdete na oficiálnej webovej stránke EFAIL.
Ako funguje chyba EFAIL
Ako technicky funguje táto chyba zabezpečenia? Jadro problému je HTML, ktorý sa používa na formátovanie e-mailu. Technika hackingu vyžaduje niekoľko krokov.Útočník musí preto predovšetkým získať kópiu šifrovaného e-mailu medzi príjemcom a odosielateľom. Po vytvorení upravenej verzie e-mailu, ktorého šifrovaný obsah je zahrnutý v značke HTML, pridá odkaz na názov domény kontrolovaný útočníkom. Nakoniec odošle tento uväznený e-mail späť k cieľu. Po otvorení poštový klient správu dešifruje, aby si ju používateľ mohol pozrieť, a na názov domény obsiahnutý v značke HTML sa odošle jasná kópia, čo umožníútočníka, aby ho získal späť.
Odtiaľ bude mať prístup ku všetkým informáciám v e-maile - prostredníctvom skrytých údajov v e-maile - a môže zájsť ešte ďalej v hackovaní údajov používateľa.
Čo robiť, aby ste sa pred tým chránili?
Teraz zostáva len jedna vec: prestať používať svojho poštového klienta na dešifrovanie správ . Toto je najlepšie krátkodobé riešenie, ako sa problému drasticky zbaviť, pretože bezpečnostná chyba EFAIL využíva poštového klienta. Zakážte šifrovanie, prípadne odstráňte príslušné certifikáty a odinštalujte všetky moduly, ktoré ste nainštalovali.V opačnom prípade musíte trpezlivo čakať, kým vývojári softvéru vydajú opravu, keď tím, ktorý stojí za touto chybou, zverejnil svoj objav.