Найден способ взломать протоколы PGP и S/MIME

Уязвимости стандартов шифрования сложно ликвидировать, и они открывают доступ ко всем электронным письмам пользователя.

Уязвимости протоколов PGP и S/MIME открывают злоумышленникам возможность читать содержимое зашифрованной переписки. В ожидании патчей безопасности эксперты рекомендуют использовать решения с поддержкой оконечного шифрования (end-to-end).

О проблеме сообщила некоммерческая организация Electronic Frontier Foundation. Обнаруженные бреши позволяют использовать почтовый клиент жертвы для расшифровки предварительно собранных писем. Ссылаясь на исследование независимых ИБ-экспертов, EFF описала два возможных типа атаки, замечая при этом, что список эксплойтов для данных уязвимостей может пополниться уже в ближайшее время.

Оба сценария используют особенность работы почтовых клиентов, которые отображают электронные сообщения в HTML-формате. В первом случае злоумышленник может подготовить письмо на базе зашифрованного послания и отправить его жертве. Когда HTML-парсер почтовой программы откроет его, скрытый код отправит расшифрованное содержимое на подконтрольный взломщику сервер.

Вторая атака в дополнение к этому механизму эксплуатирует уязвимость стандарта OpenPGP, которая позволяет злоумышленнику скрытно менять зашифрованное содержимое электронных писем, даже при невозможности его прочитать. По словам авторов исследования, в отличие от многих современных алгоритмов шифрования, OpenPGP не блокирует попытки отредактировать криптограмму и не обязывает почтовый клиент сообщать пользователю, если она была изменена. Таким образом, злоумышленник может добавить в электронное письмо код, чтобы получить на свой сервер открытый текст сообщения.

В связи с особенностями PGP- и S/MIME-шифрования не имеет значения, на отправителя или получателя совершена атака. Скомпрометированный ключ будет закреплен как за входящими, так и за исходящими сообщениями жертвы. Таким образом, взлом одной криптограммы открывает доступ ко всем электронным письмам пользователя.

Эксперты ожидают, что устранение уязвимостей потребует немало времени. Этот процесс потребует обновления как самого стандарта, так и всех почтовых клиентов, которые его используют. При этом в современных условиях невозможно единовременно отказаться от использования PGP как такового, поскольку другого подобного инструмента для защиты электронной почты попросту нет. Альтернативный стандарт шифрования S/MIME подвержен тем же уязвимостям, предупреждают авторы статьи.

Чтобы избежать взлома, необходимо отключить PGP-плагины почтовых клиентов, а с криптограммами полученных ранее сообщений работать только с помощью оффлайн-инструментов. До выхода обновления рекомендуется вести переписку в мессенджерах с поддержкой оконечного шифрования.

Пользователи, которые не испытывают потребность применять продвинутые механизмы защиты, также нередко страдают от уязвимостей почтовых клиентов. Аналитик CERT Уилл Дорманн обнаружил уязвимость Microsoft Outlook, которая позволяла злоумышленникам узнавать IP-адрес, имя домена, хоста, учетной записи Windows и хэш пароля жертвы. Разработчик закрыл эту брешь в апрельском пакете обновлений.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля