EFAIL уязвимостите позволяват източването на криптирана информация от вашите мейли

Уязвимостите могат да разкрият съдържанието на криптираната ви кореспонденция чрез две различни атаки. Могат да бъдат разглеждани дори и съобщения, изпратени в миналото.

Експлойтът, именуван „EFAIL” използва два различни вектора за атака. И двата експлоатират начинът, по който различни типове софтуер обработват HTML. Първият се цели в софтуерното реализиране на криптирането, а вторият – в неописано поведение в OpenPGP и S/MIME стандартите.

Сред най-силно засегнатите приложения са AppleMail, iOS Mail и Mozilla Thunderbird.

Това ни съобщава професорът по компютърна сигурност Себастиан Шинцел, който откри и публикува уязвимостта. Всички детайли, които са достъпни до момента, както и цялостно техническо обяснение на слабите точки на MIME, S/MIME и OpenPGP стандартите можете да намерите на efail.de.

За краткосрочно предотвратяване на EFAIL атаки може да използвате следните насоки:

  • Не декриптирайте директно в мейл приложението – премахнете S/MIME или PGP ключовете си от мейл приложението и декриптирайте във външно такова като копирате и поставите кодирания текст. Към момента това е най-безопасния начин за предотвратяване.
  • Изключете визуализирането на HTML съдържание – най-често използвания вектор за атака при EFAIL е експлоатирането на активно съдържание. Забраняването му ще ви помогне да си осигурите по-високо ниво на защита, но не ви гарантира безопасност, тъй като има и други канали за използването на експлойта.

За защита в дългосрочен план е нужно производителите на софтуер да патчнат тези уязвимости. Откриването на уязвимостите показва и нужда от обновяване на OpenPGP и S/MIME стандартите, но това няма как да се случи в кратък срок.

Tags
Show More

Георги Дуранкиев

Откакто имам досег с технологиите, те винаги са били основен интерес за мен, без значение дали ги прилагам в личния си живот или професионално. Сигурността е една от най-любопитните теми в насоката и винаги се радвам на възможността да науча и споделя повече за нея.

Присъединете се към дискусията ТУК

Related Articles

Close