Ricercatori di sicurezza europei hanno scoperto nuove vulnerabilità nei protocolli di crittografia delle e-mail. L'attacco di hacking effettuato dai ricercatori consente di incorporare codice dannoso nelle e-mail intercettate e aggirare il protocollo di crittografia. Il codice dannoso consente agli hacker di rubare tutte le informazioni dai messaggi che si trovano nella cartella "Posta in arrivo".
La vulnerabilità interessa due dei più comuni protocolli di crittografia delle e-mail, PGP e S/MIME. La tendenza della vulnerabilità ad andare dritta dipende dal grado di implementazione della protezione con l'ausilio dei protocolli. Molte cassette postali sono ora vulnerabili, incluso Apple Mail, l'app Mail per iOS e Mozilla Thunderbird. In particolare, molti sistemi di autenticazione dei messaggi possono bloccare efficacemente l'attacco.
Leggi anche: L'emulatore di Chrome OS è ora disponibile in Android Studio
Se un'e-mail crittografata viene intercettata durante il transito, un utente malintenzionato potrebbe sfruttare una vulnerabilità dell'e-mail e aggiungere codice HTML dannoso all'e-mail. Quando la vittima apre l'e-mail, il codice dannoso può essere utilizzato per rispedire il testo.
Leggi anche: Voci di un nuovo Huawei Guarda 2 (2018)
Molti server aziendali ora utilizzano la crittografia S/MIME, quindi la vulnerabilità rappresenta un grave rischio per i provider di servizi @mail.
In termini pratici, tuttavia, la lezione è questa: non esiste una "vulnerabilità teorica". Esistono vulnerabilità sfruttabili e vulnerabilità che non sono state ancora sfruttate. Dobbiamo costruire sistemi come lo riconosciamo. 16/16
- Matthew Green (@matthew_d_green) 14 Maggio 2018
Sebastian Schinzel, professore all'Università di scienze applicate di Münster, ha descritto il problema su Twitter e ha avvertito che "al momento non c'è modo di risolvere questa vulnerabilità". Il professore raccomanda ai fornitori di servizi di disabilitare la crittografia dei dati utilizzando PGP, S/MIME e utilizzarne altri. La Electronic Frontier Foundation definisce il metodo del professore una "misura temporanea e conservativa" fino a quando i ricercatori non troveranno un modo per correggere la vulnerabilità.
fonte: theverge.com