Ευρωπαίοι ερευνητές ασφάλειας ανακάλυψαν νέα τρωτά σημεία στα πρωτόκολλα κρυπτογράφησης email. Η επίθεση πειρατείας που πραγματοποίησαν οι ερευνητές επιτρέπει την ενσωμάτωση κακόβουλου κώδικα σε υποκλαπέντα email και την παράκαμψη του πρωτοκόλλου κρυπτογράφησης. Ο κακόβουλος κώδικας επιτρέπει στους χάκερ να κλέψουν όλες τις πληροφορίες από τα μηνύματα που βρίσκονται στο φάκελο "Εισερχόμενα".
Η ευπάθεια επηρεάζει δύο από τα πιο κοινά πρωτόκολλα κρυπτογράφησης email, το PGP και το S/MIME. Η τάση της ευπάθειας να πάει κατευθείαν εξαρτάται από τον βαθμό εφαρμογής της προστασίας με τη βοήθεια πρωτοκόλλων. Πολλά γραμματοκιβώτια είναι πλέον ευάλωτα, μεταξύ των οποίων Apple Mail, η εφαρμογή Mail για iOS και Mozilla Thunderbird. Συγκεκριμένα, πολλά συστήματα ελέγχου ταυτότητας μηνυμάτων μπορούν να μπλοκάρουν αποτελεσματικά την επίθεση.
Διαβάστε επίσης: Το Chrome OS Emulator είναι πλέον διαθέσιμο στο Android στούντιο
Εάν ένα κρυπτογραφημένο email υποκλαπεί κατά τη μεταφορά, ένας εισβολέας θα μπορούσε να εκμεταλλευτεί μια ευπάθεια email και να προσθέσει κακόβουλο κώδικα HTML στο email. Όταν το θύμα ανοίγει το email, ο κακόβουλος κώδικας μπορεί να χρησιμοποιηθεί για την αποστολή του κειμένου πίσω.
Διαβάστε επίσης: Φήμες για νέο Huawei Δείτε το 2 (2018)
Πολλοί εταιρικοί διακομιστές χρησιμοποιούν πλέον κρυπτογράφηση S/MIME, επομένως η ευπάθεια αποτελεί σημαντικό κίνδυνο για τους παρόχους υπηρεσιών @mail.
Σε πρακτικούς όρους, ωστόσο, το μάθημα είναι το εξής: δεν υπάρχει «θεωρητικό τρωτό». Υπάρχουν εκμεταλλεύσιμα τρωτά σημεία και τρωτά σημεία που δεν έχουν γίνει ακόμη εκμετάλλευση. Πρέπει να δημιουργήσουμε συστήματα όπως το αναγνωρίζουμε. 16/16
- Μάθιου Γκρίν (@matthew_d_green) 14 Μαΐου 2018
Ο Sebastian Schinzel, καθηγητής στο Πανεπιστήμιο Εφαρμοσμένων Επιστημών του Münster, περιέγραψε το πρόβλημα στο Twitter και προειδοποίησε ότι «προς το παρόν δεν υπάρχει τρόπος να διορθωθεί αυτή η ευπάθεια». Ο καθηγητής συνιστά στους παρόχους υπηρεσιών να απενεργοποιούν την κρυπτογράφηση δεδομένων χρησιμοποιώντας PGP, S/MIME και να χρησιμοποιούν άλλα. Το Electronic Frontier Foundation αποκαλεί τη μέθοδο του καθηγητή "προσωρινό, συντηρητικό μέτρο" έως ότου οι ερευνητές μπορέσουν να βρουν έναν τρόπο να διορθώσουν την ευπάθεια.
Πηγή: theverge.com